Hvordan aktivere SSL og TLS 1.3 på NGINX

Bilde: Jack Wallen

Det er på tide at alle migrerte fra god ole 'HTTP til HTTPS. Dette gjelder spesielt med den nyeste iterasjonen av nettlesere som gjør det veldig tydelig når et nettsted ikke er sikkert. Og når du kombinerer SSL med en-to-trøkket TLS (se Hvordan bygge NGINX med TLS-støtte på Ubuntu Server 18.04), vil nettstedene dine få enda mer sikkerhet og ytelse.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Men hvordan aktiverer du SSL for NGINX? Jeg kommer til å lede deg gjennom den prosessen. Jeg skal demonstrere på Ubuntu Server 18.04, ved å bruke selvsignerte sertifikater. Sjansen er stor for at du vil bruke sertifikater kjøpt fra en leverandør. Skulle det være tilfelle, må du redigere trinnene for å gjenspeile det.

La oss konfigurere.

Genererer selvsignerte sertifikater

Husk at dette bare er for demonstrasjonsformål. På produksjonsserverne dine ønsker du å bruke sertifikater kjøpt fra en anerkjent Certificate Authority (CA). Men for testformål vil selvsignerte sertifikater gå bra. Slik lager du dem.

Åpne et terminalvindu og følg disse trinnene:

  1. Generer privat nøkkel med kommandoen sudo openssl genrsa -out ca.key 2048
  2. Generer CSR med kommandoen sudo openssl req -new -key ca.key -out ca.csr
  3. Generer selv signert nøkkel med kommandoen sudo openssl x509 -req-dager 365-i ca.csr-signkey ca.key -out ca.crt

Nå må vi kopiere de nylig genererte filene til riktig sted med følgende kommandoer:

 sudo cp ca.crt / etc / ssl / certs / sudo cp ca.key / etc / ssl / private / sudo cp ca.csr / etc / ssl / private / 

Opprett NGINX-konfigurasjonen

Husk at vi ønsker å aktivere SSL med TLS-støtte. For å gjøre dette, må vi opprette en ny NGINX-konfigurasjonsfil med kommandoen:

 sudo nano /etc/nginx/conf.d/ssl.conf 

Lim inn følgende i denne filen:

 server {location / {root / usr / share / nginx / html; indeksindeks.html indeks.htm; } lytte 443 ssl; servernavn www.example.com; ssl_certificate /etc/ssl/certs/ca.crt; ssl_certificate_key /etc/ssl/private/ca.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers TLS-CHACHA20-POLY1305-SHA256: TLS-AES-256-GCM-SHA384: TLS-AES-128-GCM-SHA256: HIGH:! aNULL:! MD5; } 

Merk: Sørg for å endre rotstedet for å gjenspeile NGINX-installasjonen. Hvis du imidlertid følger trinnene for å bygge NGINX med TLS-støtte, bør konfigurasjonen ovenfor fungere.

Lagre og lukk filen. Test den nye NGINX-konfigurasjonsfilen med kommandoen:

 sudo nginx -t 

Du bør se at testen er bestått ( figur A ).

Figur A

Vår nye konfigurasjonsfil har bestått testen.


Start på nytt og test

Nå må vi starte NGINX på nytt. Gjør det med kommandoen:

 sudo systemctl omstart nginx 

Pek en nettleser til https: // SERVER_IP, så skal du se velkomstskjermen til NGINX. For å sikre at nettstedet blir levert med TLS 1.3 aktivert, kan du bruke nettleserens innebygde verktøy. I Firefox åpner du for eksempel siden og klikker på sikkerhetsknappen (låseikonet i venstre kant av adressefeltet). Klikk pilen til høyre som er tilknyttet siden, og klikk deretter Mer informasjon. I det resulterende vinduet ( figur B ), skal du se at forbindelsen er kryptert med TLS 1.3.

Figur B

NGINX-nettstedet vårt er kryptert med TLS 1.3-protokollen.


Og det er alt som er for å aktivere SSL og TLS på NGINX-nettstedet ditt. Husk at du bør bruke et SSL-sertifikat fra et anerkjent Certificate Authority. Men det er alltid en god idé å bruke selvsignerte sertifikater til testformål. Når du er trygg på prosessen, kan du kjøpe et sertifikat og distribuere det for ditt NGINX-nettsted.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com