Nginx配置教程：HTTPS与HTTP转换的12个安全步骤


参考资源链接：[Nginx https配置错误：https请求重定向至http问题解决](https://wenku.csdn.net/doc/6412b6b5be7fbd1778d47b10?spm=1055.2635.3001.10343)
# 1. Nginx与Web服务器安全概述

随着网络安全威胁的日益加剧，Web服务器的安全性变得尤为重要。Nginx，作为一种高性能的HTTP和反向代理服务器，已经成为构建稳定、安全的Web服务的关键组件。本章将概述Nginx服务器的安全性，强调从基本安装到高级配置的必要性，并为接下来的章节提供一个安全配置的背景。

在这一章节，我们将探索Nginx服务器的基本概念和安全挑战，包括如何避免常见的安全漏洞以及如何保护服务器免受恶意攻击。我们会对Web服务器安全性有一个初步的理解，为深入学习后续章节的HTTPS配置、内容安全策略等提供基础。

接下来，我们详细讨论如何为Nginx配置HTTPS，包括对SSL/TLS协议的初步了解、生成SSL证书和私钥，以及如何配置SSL/TLS加密连接，这些是保护数据传输安全的核心步骤。在进入这些主题之前，我们先简要了解一下Nginx服务器与Web安全性的基本概念。

# 2. 配置基础与HTTPS准备工作

## 2.1 Nginx的基本安装与配置
### 2.1.1 安装Nginx及其依赖

首先，安装Nginx服务器是走向Web服务器安全之旅的第一步。Nginx是一个高性能的HTTP和反向代理服务器，同时也是一个IMAP/POP3/SMTP服务器。Nginx以其高稳定性、丰富的模块库和易于维护而闻名。

对于大多数Linux发行版，Nginx可以通过包管理器轻松安装。以下是基于Ubuntu系统的安装命令：

sudo apt update
sudo apt install nginx

安装完成后，可以使用以下命令来验证Nginx是否已成功安装，并正在运行：

sudo systemctl status nginx

若输出显示Nginx服务正在运行，那么您已成功安装了Nginx。

### 2.1.2 配置文件结构与基础设置

Nginx的配置文件通常位于`/etc/nginx/nginx.conf`，以及位于`/etc/nginx/sites-available/`目录下的虚拟主机配置文件。Nginx配置文件的基本结构由几个主要部分组成：全局块（global context）、事件块（events context）和HTTP块（http context）。

下面是一个基本的Nginx配置示例，它展示了如何设置一个静态文件服务器：

http {
    server {
        listen 80;
        server_name example.com;

        location / {
            root /var/www/html;
            index index.html index.htm;
        }
    }
}

在这个示例中，`listen`指令指定了Nginx监听的端口，`server_name`指令定义了服务器的主机名。`location`指令则定义了对不同URL请求的处理方式。

为了使Nginx配置生效，每次修改配置文件后，都需要重新加载Nginx：

sudo systemctl reload nginx

## 2.2 HTTPS的必要性与准备工作
### 2.2.1 了解HTTPS与SSL/TLS协议

在进行HTTPS准备工作之前，我们需要了解HTTPS协议本身以及它所依赖的SSL/TLS协议。

**HTTPS** (全称：HyperText Transfer Protocol Secure) 是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信，但利用SSL/TLS来加密所有传输的数据。HTTPS的主要作用是在不安全的网络中创建一个加密通道，确保数据传输的安全性。

**SSL** (Secure Sockets Layer) 和 **TLS** (Transport Layer Security) 是用于加密和验证计算机网络通信的安全协议。TLS是SSL的后继者，尽管在实际应用中人们依然使用SSL一词来指代这两种协议。

### 2.2.2 生成SSL证书与私钥

为了启用HTTPS，我们需要一个SSL证书。可以自行生成证书，但最好是通过受信任的证书颁发机构(CA)获取。

下面展示了如何使用OpenSSL自行生成一个自签名的SSL证书和私钥：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt

这个命令会生成一个有效期为一年的自签名证书以及相应的私钥。在生产环境中，最好是由权威的CA签发证书。

### 2.2.3 配置SSL/TLS加密连接

最后，需要在Nginx配置文件中启用SSL/TLS加密：

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

配置中指定了SSL证书和私钥的路径，并设置了SSL/TLS协议版本和密码套件。完成配置后，重新加载Nginx服务即可启用HTTPS连接。

以上就是Nginx的基本安装、配置以及HTTPS准备工作的详细介绍。通过这些步骤，您将为Web服务器搭建了一个安全的基础架构。在接下来的章节中，我们将深入探讨如何进一步加强Nginx服务器的安全性。

# 3. Nginx安全配置详解

## 3.1 服务器端安全设置

### 3.1.1 使用防火墙限制访问

为了保护服务器不受未授权访问的威胁，防火墙是必不可少的安全组件。Linux系统中可以使用iptables或firewalld来限制对服务器的访问。以下是一个简单的示例，展示如何配置iptables来限制来自特定IP地址的访问：

# 更新系统包
sudo apt-get update
sudo apt-get upgrade

# 安装iptables
sudo apt-get install iptables

# 阻止特定IP访问
sudo iptables -A INPUT -s 192.168.1.10 -j DROP

# 保存规则
sudo netfilter-persistent save

这个命令设置了一个防火墙规则，拒绝来自IP地址`192.168.1.10`的流量。在实际应用中，你需要根据实际情况配置合适的规则，比如允许来自某些IP范围或端口的访问，同时拒绝其他所有访问。

### 3.1.2 启用HTTP严格传输安全（HSTS）

HTTP严格传输安全（HSTS）是一个安全特性，它告诉浏览器应该只通过HTTPS连接到服务器，而永远不应该通过未加密的HTTP连接。Nginx中启用HSTS非常简单：

server {
    listen 443 ssl;
    server_name www.example.com;

    # 其他SSL配置 ...

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

上述配置中的`max-age`参数指定了浏览器应该记住这个规则多长时间（以秒为单位），`includeSubDomains`指明这个规则也适用于所有的子域。这增加了额外的安全层，因为用户的浏览器会自动转换任何不安全的HTTP请求到HTTPS。

### 3.1.3 配置SSL/TLS协议版本与密码套件

为了提高安全性，应该限制服务器使用的SSL/TLS协议版本和密码套件。较老的版本，如SSLv3和TLS 1.0，存在已知的安全漏洞，因此应被禁用。以下是一个Nginx配置示例，限制了协议和密码套件：

server {
    listen 443 ssl;
    server_name www.example.com;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_pr