第 5 章:NGINX配置SSL/TLS 和安全性

确保 Web 通信的安全是 Web 服务器管理的一个重要方面。在本章中，我们将探讨如何配置 NGINX 来提供 SSL/TLS 加密和各种安全功能来保护您的 Web 应用程序和数据。

## 5.1 使用 NGINX 设置 SSL/TLS

SSL/TLS（安全套接字层/传输层安全）是用于保护通过互联网传输的数据的标准协议。 NGINX 可以配置为启用 SSL/TLS 加密，确保客户端和 Web 服务器之间交换的数据保持机密。

### 演示 1：使用 NGINX 启用 SSL/TLS

在此演示中，我们将使用免费的 Let's Encrypt SSL 证书为您的网站设置 SSL/TLS。

**步骤 1：** 在您的服务器上安装 Let's Encrypt 的 Certbot 实用程序。

sudo apt install certbot

**步骤 2：** 为您的域请求并安装免费的 Let's Encrypt SSL 证书。

sudo certbot --nginx -d your_domain

Certbot 将指导您完成证书设置过程，包括电子邮件注册和使用 NGINX 自动配置。

**步骤 3：** 安装证书后，您可以验证其在服务器块配置中的存在。

sudo nano /etc/nginx/conf.d/mywebsite.conf

在服务器块中，您应该看到类似以下内容的行：

server {


  # ... other server block configuration ...
  
  listen 443 ssl; # Enables SSL/TLS
  
  server_name your_domain;
  
  ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
  
  ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
  
  include /etc/letsencrypt/options-ssl-nginx.conf;
  
  ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;


}

**步骤 4：** 保存配置并测试语法错误。

sudo nginx -t

**步骤 5：** 如果测试成功，请重新加载 NGINX 以应用更改。

sudo systemctl reload nginx

您的网站现在可以通过 HTTPS 访问，并启用 SSL/TLS 加密。

## 5.2 SSL/TLS 最佳实践

确保 SSL/TLS 配置的安全至关重要。 NGINX 提供了各种选项来提高设置的安全性。以下是一些最佳实践：

- **完美前向保密 (PFS)**：启用 PFS 可确保即使私钥被泄露，过去的通信仍然安全。

- **HTTP/2**：NGINX 支持 HTTP/2，它提供了改进的性能和安全性。

- **HSTS（HTTP 严格传输安全）**：实施 HSTS 以强制客户端使用 HTTPS。

- **安全标头**：配置 NGINX 以发送与安全相关的 HTTP 标头，例如内容安全策略 (CSP) 和 X-Content-Type-Options。

- **OCSP 装订**：启用 OCSP 装订以减少检查证书吊销的开销。

## 5.3 保护您的 NGINX 服务器

保护 NGINX 服务器本身对于防止未经授权的访问和防范常见的 Web 漏洞至关重要。

### 演示 2：基本 NGINX 服务器安全

在此演示中，我们将为您的 NGINX 服务器设置基本的安全措施。

**第 1 步：** 禁用服务器令牌以隐藏 NGINX 版本信息。

编辑 NGINX 配置文件：

sudo nano /etc/nginx/nginx.conf

在“http”块内，添加以下行：

http {


  server_tokens off;
  
  # ... other configuration ...


}

**步骤 2：** 保存配置并测试语法错误。

sudo nginx -t

**步骤 3：** 如果测试成功，请重新加载 NGINX 以应用更改。

sudo systemctl reload nginx

隐藏服务器令牌有助于保护您的服务器免受可能利用特定 NGINX 版本中的已知漏洞的潜在攻击者的侵害。

本章介绍了 SSL/TLS 加密设置、SSL/TLS 最佳实践和基本 NGINX 服务器安全性。实施这些安全措施有助于保护您的 Web 应用程序和数据，同时为您的用户提供安全且值得信赖的体验。