Dans ce tutoriel, nous allons vous montrer comment configurer Nginx avec SSL sur votre serveur Linux. Pour ceux d'entre vous qui ne le savaient pas, Transport Layer Security (TLS) et Secure Socket Layer ( SSL) fournissent une méthode simple pour crypter les connexions entre les utilisateurs finaux et les serveurs Web. SSL utilise un système d'autorité de certification pour fournir une vérification d'identité afin d'empêcher les sites Web de prétendre à tort être une autre organisation ou un autre site Web. Ce didacticiel vous montre comment configurer sécurité SSL renforcée sur le serveur Web Nginx.
Cet article suppose que vous avez au moins des connaissances de base sur Linux, que vous savez utiliser le shell et, plus important encore, que vous hébergez votre site sur votre propre VPS. L'installation est assez simple et suppose que vous s'exécutent dans le compte root, sinon vous devrez peut-être ajouter 'sudo ‘ aux commandes pour obtenir les privilèges root. Je vais vous montrer étape par étape comment configurer Nginx avec SSL sur votre Linux.
Configurer Nginx avec SSL
Obligatoire :
- En supposant que vous avez installé le serveur Web Nginx.
- J'utilise Namecheap en tant que bureau d'enregistrement, et ils revendent des certificats SSL d'un certain nombre d'autres sociétés, dont Comodo.
Étape 1. Créer un répertoire
mkdir -p /etc/nginx/ssl/idroot.us
Étape 2. Génération de votre clé SSL et CSR
Avant d'acheter un certificat, vous devez générer une clé privée et un fichier CSR (Certificate Signing Request). Le contenu du Fichier CSR lors de la commande du certificat. Pour le nom commun, entrez le nom de domaine souhaité sans "www", c'est-à-dire idroot.us. S'il s'agit d'un SSL générique, utilisez *.idroot.us.
openssl req -nodes -newkey rsa:2048 -keyout idroot.us.key -out idroot.us.csr
Étape 3. Créer un ensemble de certificats
Après l'achat du certificat, vous recevrez éventuellement un e-mail avec votre certificat SSL. Il contient un fichier zip avec les éléments suivants :
- AddTrustExternalCARoot.crt
- COMODORSAAddTrustCA.crt
- COMODORSADomainValidationSecureServerCA.crt
- idroot_net.crt
cat idroot_net.crt AddTrustExternalCARoot.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt >> ssl-bundle.crt
Une fois créé un ensemble de certificats, vous pouvez le déplacer vers votre répertoire SSL Nginx.
mv ssl-bundle.crt /etc/nginx/ssl/idroot.us/
Étape 4. Configurer le certificat pour Nginx
Accéder à la configuration de l'hôte virtuel Nginx, l'utilisation de SSL avec Nginx nécessite une modification de la directive listen et de trois directives liées à SSL, comme indiqué dans les exemples suivants :
nano /etc/nginx/conf.d/ssl.conf
server {
listen 443 ssl spdy;
server_name www.idroot.us idroot.us;
root /var/www/idroot.us/public_html;
index index.php index.html index.htm;
server_tokens off;
#SSL CONF
ssl on;
ssl_certificate /etc/nginx/ssl/idroot.us/ssl-bundle.crt;
ssl_certificate_key /etc/nginx/ssl/idroot.us/idroid.us.key;
#SSL
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
# permalink
location / {
try_files $uri $uri/ /index.php?$args;
}
# php-script handler
location ~ \.php$ {
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
root /var/www/idroot.us/public_html;
fastcgi_param SCRIPT_FILENAME /var/www/idroot.us/public_html$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
location ~ /\.ht {
deny all;
}
} Étape 5. Rediriger les hôtes virtuels HTTP vers HTTPS
return 301 https://idroot.us$request_uri;
Étape 6. Redémarrez/rechargez Nginx.
/etc/init.d/nginx restart
Félicitations ! Vous avez installé avec succès Nginx avec SSL. Merci d'avoir utilisé ce didacticiel pour installer et configurer Nginx avec SSL sur un système Linux. Pour obtenir de l'aide supplémentaire ou des informations utiles, nous vous recommandons de consulter le Site Web Nginx.