在CentOS上配置Nginx以优化SSL安全性涉及多个方面,包括选择合适的加密套件、启用HSTS(HTTP Strict Transport Security)、配置证书等。以下是一些关键步骤和建议:
确保你的系统和Nginx都是最新的版本,以避免已知的安全漏洞。
sudo yum update -y
sudo yum install epel-release -y
sudo yum install nginx -y
使用Let’s Encrypt免费获取SSL证书,并配置Nginx使用这些证书。
sudo yum install certbot python2-certbot-nginx -y
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
编辑Nginx配置文件(通常位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf),添加或修改以下SSL/TLS设置:
server {
listen 443 ssl http2;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# HSTS preload
add_header Strict-Transport-Security "preload" always;
location / {
root /var/www/html;
index index.html index.htm;
}
}
OCSP Stapling可以减少客户端验证证书的时间,提高性能。
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
HSTS(HTTP Strict Transport Security)强制浏览器始终通过HTTPS访问你的网站。
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
确保只启用TLSv1.2和TLSv1.3,并使用安全的密码套件。
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
确保所有HTTP请求都重定向到HTTPS。
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
location / {
return 301 https://$host$request_uri;
}
}
使用Certbot自动续订证书。
sudo certbot renew --dry-run
sudo systemctl reload nginx
确保Nginx日志记录详细信息,以便在出现问题时进行调试。
error_log /var/log/nginx/error.log debug;
access_log /var/log/nginx/access.log main;
通过以上步骤,你可以显著提高Nginx在CentOS上的SSL安全性。记得定期检查和更新你的配置,以应对新的安全威胁。
