本文介绍nginx 1.9.7的安装,并启用http、https访问。
By 泪痕之木
实验环境
操作系统:CentOS 6.7
IP:192.168.80.60
主机名:CentOS6
YUM软件包安装:CentOS默认提供的在线YUM源
openssl版本:openssl-1.0.2d.tar.gz(openssl官网获取)
nginx版本:nginx-1.9.7.tar.gz(nginx官网获取)
1 依赖包安装
安装openssl和nginx之前,需要先安装一些依赖包:gcc、pcre、zlib
1、nginx gzip模块需要zlib库
2、nginx rewrite模块需要pcre库
3、nginx ssl模块需要openssl库
[[email protected] ~]# yum install gcc\* pcre\* zlib\* –y
2 Nginx安装
将nginx和openssl源码包上传至服务器,这里上传到了 /root 目录
openssl解压即可,并不需要安装
[[email protected] ~]# tar zxvf openssl-1.0.2d.tar.gz
[[email protected] ~]# tar zxvf nginx-1.9.7.tar.gz
[[email protected] ~]# cd nginx-1.9.7
配置nginx安装选项
[[email protected] nginx-1.9.7]# ./configure --prefix=/usr/local/nginx --with-openssl=/root/openssl-1.0.2d --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module
--with-openssl=<openssl_dir> 指定openssl源码包解压后的路径
--with-http_ssl_module 启用SSL模块
配置完毕后可以看到一个配置概要,概要中的5项必须都有了相应的库支持
安装nginx
[[email protected] nginx-1.9.7]# make && make install
安装完毕后,安装包和解压后的文件都可以删除
[[email protected] nginx-1.9.7]# cd ..
[[email protected] ~]# rm -fr openssl* nginx*
3 Nginx访问
3.1 HTTP访问
关闭防火墙,并取消防火墙开机自启动
[[email protected] ~]# service iptables stop
[[email protected] ~]# chkconfig iptables off
启动Nginx
[[email protected] ~]# cd /usr/local/nginx
[[email protected] nginx]# ./sbin/nginx
Nginx启动后,查看HTTP端口已经监听,HTTP端口默认为80
[[email protected] nginx]# netstat -an|grep :80
使用浏览器访问如下地址,如果出现截图页面,证明Nginx访问成功
3.2 HTTPS访问
首先需使用openssl生成PEM格式证书(或使用Windows证书颁发机构生成PFX格式证书,再转换为PEM格式)供nginx ssl模块使用。此部分请参考本人另外的文章《openssl安装使用》或《ActiveDirectory证书服务》。
3.2.1 修改nginx.conf
创建ssl目录,将证书和私钥上传至/usr/local/nginx/conf/ssl目录
[[email protected] nginx]# mkdir conf/ssl
编辑nginx配置文件,开启SSL访问,指定SSL协议、证书、私钥文件
[[email protected] nginx]# vim conf/nginx.conf
将上述部分配置注释取消,并修改为如下配置
这里使用的通配符证书:*.lhzm.com
# HTTPS server
#
server {
listen 443 ssl;
server_name www.lhzm.com;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/lhzmcert.pem;
ssl_certificate_key ssl/lhzmkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
由于私钥加密,所以配置了HTTPS之后,重新启动nginx需要输入私钥加密口令
[[email protected] nginx]# sbin/nginx -s reload
Enter PEM pass phrase: 123456
经测试,使用reload重新启动nginx后,HTTPS并不生效,必须重启系统。
系统重新启动后,启动nginx,查看443端口是否开放
[[email protected] nginx]# netstat -an | grep :443
3.2.2 添加本地解析
如果在安装nginx的本机访问nginx,在/etc/hosts文件中添加本地解析
[[email protected] nginx]# vim /etc/hosts
如果在其他外部计算机访问nginx,例如一台Windows,则在Windows添加本地解析
3.2.3 验证访问
使用浏览器打开https://www.lhzm.com
可以看到如下提示:不受信任的连接。
由于颁发证书的CA不受本计算机信任,所以发布的证书也不被信任。通常我们访问的银行等HTTPS站点为什么没有这个提示呢?因为这些公众HTTPS站点的证书购买自一些受信任的第三方证书颁发机构,而这些第三方证书颁发机构的根证书默认已经内置在我们的计算机,所以他们发布的证书被信任。
添加例外
确认安全例外
HTTPS访问成功
点击锁状图标-更多信息
可以看到和HTTPS站点通信使用的密码套件
查看证书,可以看到证书的信息和颁发该证书的CA的信息
3.3 SSL语法
3.3.1 ssl
语法:ssl [on|off]
默认值:ssl off
使用字段:main, server
开启HTTPS
说明:较新版本的nginx,例如本文使用的nginx 1.9.7,可以直接使用语法: listen 443 ssl
3.3.2 ssl_certificate
语法:ssl_certificate file
默认值:ssl_certificate cert.pem
使用字段:main, server
为这个虚拟主机指定PEM格式的证书文件,这个文件可以包含其他的证书和服务器私钥,同样,密钥也必须是PEM格式,0.6.7版本以后,这里的路径为相对于nginx.conf的路径,而不是编译时的prefix路径。
3.3.3 ssl_certificate_key
语法:ssl_certificate_key file
默认值:ssl_certificate_key cert.pem
使用字段:main, server
为这个虚拟主机指定PEM格式的私钥,0.6.7版本以后,这里的路径为相对于nginx.conf的路径,而不是编译时的prefix路径。
3.3.4 ssl_client_certificate
语法:ssl_client_certificate file
默认值:none
使用字段:main, server
指出包含PEM格式的CA(root)证书,它将用于检查客户端证书。
3.3.5 ssl_dhparam
语法:ssl_dhparam file
默认值:none
使用字段:main, server
该指令指定了一个PEM格式的文件,其中包含的Diffie-Hellman密钥协商协议密码参数,它将用于服务器和客户端之间的会话密钥交换。(翻译来自Google。- -!)
原文:This directive specifies a file containing Diffie-Hellman key agreement protocol cryptographic parameters, in PEM format, utilized for exchanging session keys between server and client
3.3.6 ssl_ciphers
语法:ssl_ciphers file
默认值:ssl_ciphers HIGH:!aNULL:!MD5;
使用字段:main, server
指出为建立安全连接,服务器所允许的密码格式列表,密码指定为OpenSSL支持的格式,每个密码之间用“ : ”分开。如:
ssl_ciphers HIGH:!aNULL:!MD5:!ECDHE:!EDH:!DHE:!ECDH;
如果希望ssl优先使用哪种密码,在ssl_prefier_server_ciphers 开启的情况下,直接指定出希望使用的密码。
ssl_ciphers TLS_RSA_WITH_AES_128_CBC_SHA:TLS_RSA_WITH_AES_256_CBC_SHA:TLS_RSA_WITH_AES_128_CBC_SHA256:TLS_RSA_WITH_AES_256_CBC_SHA256:HIGH:!aNULL:!MD5:!ECDHE:!EDH:!DHE:!ECDH;
如果不希望使用一个密码,则在该指令下禁用该密码,如禁用ECDHE类型密码:
ssl_ciphers HIGH:!aNULL:!MD5:!ECDHE;
查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:
[[email protected] ~]# openssl ciphers
3.3.7 ssl_crl
语法:ssl_crl file
默认值:none
使用字段:http, server
指令可用于0.8.7以后版本,用于指定一个证书吊销列表的文件名,使用PEM格式,它将用于检查证书吊销状态。
3.3.8 ssl_prefer_server_ciphers
语法:ssl_prefer_server_ciphers [on|off]
默认值:ssl_prefer_server_ciphers off
使用字段:main, server
依赖SSLv3和TLS协议的服务器密码将优先于客户端密码。
3.3.9 ssl_protocols
语法:ssl_protocols [SSLv2] [SSLv3] [TLSv1]
默认值:ssl_protocols SSLv2 SSLv3 TLSv1
使用字段:main, server
指定要开启的SSL协议。
3.3.10 ssl_verify_client
语法:ssl_verify_client on|off|optional
默认值:ssl_verify_client off
使用字段:main, server
启用客户端身份验证,参数“optional”将使用客户端提供的证书检查它的权限(0.8.7与0.7.63版本之前为”ask”)。
3.3.11 ssl_verify_depth
语法:ssl_verify_depth number
默认值:ssl_verify_depth 1
使用字段:main, server
设置服务器按顺序检查客户端提供的证书链的长度。
3.3.12 ssl_session_cache
语法:ssl_session_cache off|none|builtin:size and/or shared:name:size
默认值:ssl_session_cache off
使用字段: main, server
设置储存SSL会话的缓存类型和大小。
缓存类型为:
off - 强制关闭:nginx告诉客户端这个会话已经不能被再次使用。
none - 非强制关闭:nginx告诉客户端这个会话可以被再次使用,但是nginx实际上并不使用它们,这是为某些使用ssl_session_cache的邮件客户端提供的一种变通方案,可以使用在邮件代理和HTTP服务器中。
builtin - 内建OpenSSL缓存,仅能用在一个工作进程中,缓存大小在会话总数中指定,注意:如果要使用这个类型可能会引起内存碎片问题,具体请查看下文中参考文档。
shared - 缓存在所有的工作进程中共享,缓存大小指定单位为字节,1MB缓存大概保存4000个会话,每个共享的缓存必须有自己的名称,相同名称的缓存可以使用在不同的虚拟主机中。
可以同时使用两个缓存类型,内建和共享,如:
ssl_session_cache builtin:1000 shared:SSL:10m;
但是,使用共享缓存而不使用内建缓存将更为有效。
0.8.34版本之前如果ssl_verify_client设置为‘on‘或者‘optional‘时这里不能设置为none或off。
注意,为了让缓存恢复工作,你需要在服务器为SSL socket配置默认服务器,例如:
listen [::]:443 ssl default_server;
这是因为缓存的重用发生在任何TLS扩展启用之前,即服务器名称认证(Server Name Identification (SNI)),来自一个指定IP地址(服务器)的ClientHello信息请求一个会话ID,为了使其工作,默认(default)服务器必须被设置。
最好的方法是将ssl_session_cache放到http字段,这样下面配置的server/虚拟主机字段都将得到相同的SSL缓存配置。
3.3.13 ssl_session_timeout
语法:ssl_session_timeout time
默认值:ssl_session_timeout 5m
使用字段: main, server
设置客户端能够反复使用储存在缓存中的会话参数时间。
3.3.14 ssl_engine
语法:ssl_engine
指定使用的OpenSSL引擎,如Padlock,例如PadLock,下列命令可以查看你的OpenSSL支持的引擎:
3.3.15 openssl engine
Debian系统在版本0.9.8o的OpenSSL运行后返回:
$ openssl engine
(padlock) VIA PadLock (no-RNG, no-ACE)
(dynamic) Dynamic engine loading support
内置变量
ngx_http_ssl_module模块支持下列内建变量:
$ssl_cipher - 返回建立的SSL连接中那些使用的密码字段。
$ssl_client_serial - 返回建立的SSL连接中客户端证书的序列号。
$ssl_client_s_dn - 返回建立的SSL连接中客户端证书的DN主题字段。
$ssl_client_i_dn - 返回建立的SSL连接中客户端证书的DN发行者字段。
$ssl_protocol - 返回建立的SSL连接中使用的协议。
$ssl_session_id - 需要0.8.20以上版本。
$ssl_client_cert
$ssl_client_raw_cert
$ssl_client_verify - 如果客户端证书审核通过,这个变量为“SUCCESS”。
非标准错误代码
这个模块支持一些非标准的HTTP错误代码,可以借助error_page指令用于调试:
495 - 检查客户端证书时发生错误。
496 - 客户端无法提供必须的证书。
497 - 传送到HTTPS的普通请求。
在请求完整的废除后调试完成,并取得一些内置变量,如:$request_uri, $uri, $arg等。
3.4 信任证书
如果希望信任一个证书或信任一个CA,可以将该用户证书或CA证书导入本地计算机“受信任的根证书颁发机构”。之后再访问使用该用户证书的站点或该使用该CA发布证书的站点,默认站点将被信任。
这里演示CA证书导入到Windows计算机的“受信任的根证书颁发机构”。
首先,将由openssl生成的CA证书cacert.pem更改后缀名,修改为Windows识别的.crt后缀。
双击证书后,安装证书
本地计算机
浏览至“受信任的根证书颁发机构”
完成
导入成功,确定
说明:上面讲述的理论是正确的,但随着现在操作系统和浏览器的安全机制不断加强,实际操作时该方法一般并不生效,因为浏览器等关联了更多的证书验证方式,不再仅仅依靠内置的根证书验证。
可以参考下图以搜狗浏览器为例的两个站点对比,其中www.lhzm.com使用了自己搭建CA的证书,并已经将证书导入“受信任的根证书颁发机构”。
