简述Nginx配置Https ？

八股文_Nginx面试考题 0 42

参考回答：

Nginx 配置 HTTPS 主要通过 SSL/TLS 协议加密通信，保证数据传输的安全。配置 HTTPS 需要以下几个步骤：

获取 SSL 证书：可以使用免费的 Let’s Encrypt 证书，或者从其他证书提供商（如 DigiCert、GlobalSign 等）购买证书。
安装证书和私钥：将证书文件（通常是 .crt 格式）和私钥文件（.key 格式）存放在服务器上。
配置 Nginx：在 Nginx 配置文件中配置 SSL 相关的指令，如 ssl_certificate 和 ssl_certificate_key 来指向证书和私钥文件。
重启 Nginx：完成配置后，重启 Nginx 使配置生效。

配置示例：

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;

    ssl_protocols TLSv1.2 TLSv1.3;  # 设置支持的协议版本
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';  # 设置加密套件

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

此外，如果你希望通过 HTTP 自动跳转到 HTTPS，可以使用如下配置：

server {
    listen 80;
    server_name example.com;
    return 301 https://hostrequest_uri;
}

详细讲解与拓展：

1. 获取和安装 SSL 证书

SSL 证书用于加密客户端和服务器之间的通信。常见的证书获取方式有：
– Let’s Encrypt：提供免费的 SSL 证书，可以通过工具（如 Certbot）自动化获取和续期。
– 购买证书：从认证机构（如 DigiCert、GlobalSign）购买证书，适合需要更高信任度的场景。

安装证书后，将证书文件和私钥文件保存在服务器的指定位置。

2. 配置 SSL 指令

在 Nginx 配置中，以下是关键的 SSL 配置项：
– ssl_certificate：指向 SSL 证书文件。
– ssl_certificate_key：指向私钥文件。
– ssl_protocols：定义 Nginx 支持的 SSL/TLS 协议版本，推荐使用 TLSv1.2 或更高版本。
– ssl_ciphers：定义 SSL 握手时支持的加密套件，选择强加密算法以增强安全性。

示例：

ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

3. 强制 HTTPS

为了确保所有访问都通过 HTTPS，可以在 HTTP 配置中添加 301 重定向规则，将所有 HTTP 请求重定向到 HTTPS。

server {
    listen 80;
    server_name example.com;
    return 301 https://hostrequest_uri;
}

4. 优化 SSL 配置

为了提高安全性，推荐以下配置：
– 禁用 SSL 3.0 和早期的 TLS 版本，避免使用弱加密协议。
– 强制使用现代的加密套件，如 ECDHE 和 AES-GCM。
– 配置 ssl_prefer_server_ciphers 为 on，确保优先使用服务器选择的加密套件。

示例优化配置：

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

5. 自动续期（Let’s Encrypt）

对于 Let’s Encrypt 证书，可以设置定期自动续期，避免证书过期。使用 Certbot 工具可以自动完成续期工作。

示例命令：

certbot renew --quiet

可以通过设置 cron 任务来定期自动运行该命令。

总结：

配置 Nginx 支持 HTTPS 主要是通过安装 SSL 证书并在 Nginx 配置文件中进行相应的设置。确保 SSL 配置使用现代的加密协议和安全的加密套件，强制 HTTPS 可以通过 HTTP 301 重定向完成。同时，Let’s Encrypt 提供了免费证书并且支持自动续期，使得 HTTPS 配置更加方便和安全。