北鱼扶摇2

V1

2022/05/30阅读:36主题:自定义主题1

2022年,你网站还不支持HTTP2吗?

大人,都 2022 年了,你的网站还不支持 HTTP2 吗?

什么?你甚至还没有开启 SSL/TLS 模式?!

SSL/HTTP2

SSL(Secure Sockets Layer, 安全套接字层),是用于建立计算机之间授权与加密连接的一种协议。事实上,SSL 协议已经在 1999 年 TLS(Transport Layer Security,传输层安全) 1.0 版本发布时已经被废弃了,但通常仍以 SSL 或者 SSL/TLS 指代这类技术。本文中,SSL 特指对于 HTTPS 的支持。

SSL/TLS 协议本身是很复杂的,我们这里不去细究其原理,感兴趣的可以去找一下相关资料学习。

HTTPS(SSL/TLS) 支持,需要为域名配置安全证书,通常这类证书对于个人而言都是比较昂贵的,好在开源社区早有实现方案。任何拥有域名的人,都可以使用 Let's Encrypt 免费获取受信的证书。本文选用的是基于 letsencrypt 的另一个开源实现 acme.sh!

HTTP2 是区别于 HTTP1.1 的网络请求协议,它通过多路复用等机制,大幅度提高 HTTP 协议的性能,关于其协议详情,可以查看 RFC 7540 文档

实操配置

通过 yum 或者 rpm 安装 nginx,假定其配置目录在 /etc/nginx

查看 nginx 配置根本目录:

使用 tree 命令查看 /etc/nginx 的文件结构

.
├── conf.d
│   └── default.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

创建 ssl 目录

在 nginx 配置根目录下,创建 ssl 目录

$ mkdir /etc/nginx/ssl

创建 SSL/TSL 通用配置

在上一步的 ssl 目录中,创建 SSL/TLS 通用配置 ssl.conf 内容如下:

# Optimize ssl session
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam ssl/dhparam.pem;

# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
ssl_prefer_server_ciphers on;

# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;

## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate ssl/trusted_primary.pem;

# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
# add_header Strict-Transport-Security max-age=15768000;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# HPKP
# add_header Public-Key-Pins 'pin-sha256="trusted_primary_base64_key"; pin-sha256="trusted_backup_base64_key"; max-age=2592000; includeSubDomains' always;
# CSP
# add_header Content-Security-Policy "upgrade-insecure-requests; default-src 'none'; script-src 'self' data: 'unsafe-inline' 'unsafe-eval' https:; object-src 'self' https:; style-src 'self' data: 'unsafe-inline' https:; img-src 'self' data: https:; media-src 'self' data: https; frame-src 'self' https:; font-src 'self' data: https:; connect-src 'self' https:" always;
# 告诉 IE8 使用最新的浏览器渲染
add_header X-UA-Compatible "IE=Edge" always;
# 控制 Referrer 信息显示,同源完整显示,跨域仅显示 host 部分
add_header Referrer-Policy "origin-when-cross-origin" always;
# 网页只在同源情况允许被 iframe 嵌套
add_header X-Frame-Options "SAMEORIGIN" always;
# 让浏览器对 Content-Type 不要瞎猜测
add_header X-Content-Type-Options "nosniff" always;
# 开启浏览器 XSS 过滤,一旦发现自动 block 掉
add_header X-XSS-Protection "1; mode=block" always;

resolver 223.5.5.5 114.114.114.114 8.8.8.8 valid=60s;
resolver_timeout 5s;

创建中间证书和受信密钥

在 ssl 目录中,创建 certs.sh 脚本。 内容如下:

#!/bin/bash

###### DH Params
# 使用openssh dhparam 生成 DH Params
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem


##### HPKP
# 下载 Let's Encrypt 中间证书
wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt -O trusted_primary.pem
wget https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt -O trusted_backup.pem

# 验证证书是否有效
openssl x509 -in trusted_primary.pem -noout -subject
openssl x509 -in trusted_backup.pem -noout -subject

# 生成 trusted_primary 公钥
openssl x509 -in trusted_primary.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64

# 生成 trusted_backup 公钥
openssl x509 -in trusted_backup.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64

执行 /etc/nginx/ssl/certs.sh 生成中间证书和受信密钥:

dhparam.pem
public.key
trusted_backup.pem
trusted_primary.pem

注意这一步执行比较消耗性能,会略微有点慢。

最终,在 /etc/nginx/ssl 目录中,包含三个 PEM 文件和一个 key 文件,此外还有 ssl.conf 和 certs.sh,总共六个文件。

生成 SSL/TSL 证书

通过 acme.sh 为自己的域名颁发证书。 假定你已经安装了 acme.sh 证书颁发工具,在任意地方执行颁发证书命令:

acme.sh --issue -d example.com -d *.example.com --dns dns_ali

第一个为 example.com 主域名,生成的证书会以这个主域名在 .acme.sh 目录中创建子目录,存放证书文件。

注意我这里是是阿里云域名,已经预先在.bashrc 中导出了阿里云域名相关的 key 配置

## 用于acme.sh根据DNS颁发通配符证书
export Ali_Key="LTAI*****vgZC"
export Ali_Secret="tmCh*****R3j5q"

默认情况下,acme.sh 会安装在用户目录下的 .acme.sh 中,生成的域名也在此目录下

配置站点

在 /etc/nginx/conf.d 下面创建一个站点配置文件 example.com.conf

server {
    listen 80;
    # listen [::]:80;
    listen 443 ssl http2;
    # listen [::]:443 ssl http2;
    server_name example.com www.example.com;

        # force https-redirects
    if ( $scheme = http ){
        return 301 https://$server_name$request_uri;
    }

    # SSL 证书配置
    ssl_certificate      /root/.acme.sh/example.com/fullchain.cer;
    ssl_certificate_key  /root/.acme.sh/example.com/example.com.key;

    # SSL 通用配置
    include  ssl/ssl.conf;

    error_page  404              /404.html;

    client_max_body_size 20m;

    # 反向代理
    location /api {
        # Use IPv4 upstream address instead of DNS name to avoid attempts by nginx to use IPv6 DNS lookup
        proxy_pass http://127.0.0.1:8080/api;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    # 静态资源
    location / {
        root  /opt/www/example.com/;
        index  index.html index.htm;
    }
}

查看目录结构

再次用 tree 命令查看 /etc/nginx 目录结构

.
├── conf.d
│   ├── default.conf
│   └── example.com.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── ssl
│   ├── certs.sh
│   ├── dhparam.pem
│   ├── public.key
│   ├── ssl.conf
│   ├── trusted_backup.pem
│   └── trusted_primary.pem
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

重新加载 nginx 配置或者重启服务,打开 Chrome 浏览器访问 https://example.com ,看到站点已经带上了健康锁,大功告成!

参考

Let's Encrypt

acme.sh

SSL/TLS 安全评估报告

SSL Server Test

Mozilla SSL Configuration Generator

欢迎关注逻魔代码
欢迎关注逻魔代码

分类:

后端

标签:

运维部署

作者介绍

北鱼扶摇2
V1