nginx 反向代理及 https 证书配置

author: yunqimg(ccxtcxx0)

1. 编译安装nginx

从官网下载 nginx源码, 并编译安装.

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
make && make install

编译时注意添加 SSL 模块, 否则配置 https 时会失败.
安装完成后, nginx 程序默认保存在 /usr/local/nginx/sbin/ 目录下, 启动 nginx 命令如下

/usr/local/nginx/sbin/nginx -c /home/nginx/nginx.conf

推荐使用指定配置文件路径方式启动, 这样在 docker 方式部署时方便修改配置文件.

2. 反向代理配置

基本配置范例：

## Basic reverse proxy server ##
upstream backend  {
    server 127.0.0.1:8080; # local server
}server {
    location / {
        proxy_pass  http://backend;
    }
}

upstream 节点记录后端服务器地址, backend 是节点名称.

Nginx 反向代理的指令不需要新增额外的模块，默认自带 proxy_pass 指令，只需要修改配置文件就可以实现反向代理。

Nginx 反向代理模板

## Basic reverse proxy server ##
upstream tornado  {
    server 127.0.0.1:8080; # local server
}server {
    listen          80;
    server_name     example.com;    access_log      /home/nginx/log/access.log  main;
    error_log       /home/nginx/log/error.log;    root            html;
    index           index.html index.htm index.php;    ## send request back to tornado ##
    location / {
        proxy_pass  http://tornado;        # Proxy Settings
        proxy_redirect     off;
        proxy_set_header   Host             $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
        proxy_max_temp_file_size    0;
        proxy_connect_timeout       90;
        proxy_send_timeout          90;
        proxy_read_timeout          90;
        proxy_buffer_size           4k;
        proxy_buffers               4 32k;
        proxy_busy_buffers_size     64k;
        proxy_temp_file_write_size  64k;
   }
}

nginx反向代理配置模块, 推荐使用独立的文件保存配置, 例如: 将上面提到的模板保存到tornado.conf 文件中, 再在 nginx.conf 文件中添加 include /home/nginx/tornado.conf; 即可将两个配置文件关联.

添加位置如下

http {
    include       mime.types;
    default_type  application/octet-stream;    # xxx
    # xxx
    # ...
    include       /home/nginx/tornado.conf;
}

如何获取HTTPS证书

详情说明请参考 NGINX 配置 HTTPS 服务器

主要参考 使用 OpenSSL 生成 SSL Key 和 CSR 文件 这一段

HTTPS 基础配置

要开启 HTTPS 服务，在配置文件信息块(server block)，必须使用监听命令 listen 的 ssl 参数和定义服务器证书文件和私钥文件，如下所示

server {
    # ssl参数
    listen              443 ssl;
    server_name         example.com;
    # 证书文件
    ssl_certificate     example.com.crt;
    # 私钥文件
    ssl_certificate_key example.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    #...
}

example.com.crt 和 example.com.key 可以是任意名称, 只要配置文件与实际文件名对应即可.

若只填写证书文件和私钥文件的文件名无法正常工作, 可尝试填写完整文件路径. 如: ssl_certificate /home/nginx/example.com.crt

证书文件会作为公用实体發送到每台连接到服务器的客戶端，私钥文件作为安全实体，应该被存放在具有一定权限限制的目录文件，并保证 Nginx 主进程有存取权限。

私钥文件也有可能会和证书文件同放在一個文件中，如下面情況：

ssl_certificate     www.example.com.cert;
ssl_certificate_key www.example.com.cert;

这种情況下，证书文件的的读取权限也应该加以限制，尽管证书和私钥存放在同一个文件里，但是只有证书会被发送到客戶端

命令 ssl_protocols 和 ssl_ciphers 可以用来限制连接只包含 SSL/TLS 的加強版本和算法，默认值如下

ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers     HIGH:!aNULL:!MD5;

加强 HTTPS 安全性

HTTPS 基础配置采取的默认加密算法是 SHA-1，这个算法非常脆弱，安全性在逐年降低，在 2014 年的时候， Google 官方博客就宣布在 Chrome 浏览器中逐渐降低 SHA-1 证书的安全指示，会从 2015 年起使用 SHA-2 签名的证书，可参阅 Rabbit_Run 在 2014 年发表的文章：《为什么Google急着杀死加密算法SHA-1》

为此，主流的 HTTPS 配置方案应该避免 SHA-1，可以使用迪菲-赫尔曼密钥交换（D-H，Diffie–Hellman key exchange）方案。

首先在目录 /etc/ssl/certs 运行以下代码生成 dhparam.pem 文件

openssl dhparam -out dhparam.pem 2048

然后加入 Nginx 配置

#优先采取服务器算法
ssl_prefer_server_ciphers on;
#使用DH文件
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#定义算法
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

如果服务器夠強大，可以使用更为复杂的 4096 位进行加密。

一般情況下还应该加上以下几个增强安全性的命令

#减少点击劫持
add_header X-Frame-Options DENY;
#禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
#防XSS攻击
add_header X-Xss-Protection 1;

这几个安全命令在 Jerry Qu 大神的文章《一些安全相关的HTTP响应头》有详细的介紹。

优化后的综合配置

worker_processes auto;http {    #配置共享会话缓存大小，视站点访问情况设定
    ssl_session_cache   shared:SSL:10m;
    #配置会话超时时间
    ssl_session_timeout 10m;    server {
        listen              443 ssl;
        server_name         www.example.com;        #设置长连接
        keepalive_timeout   70;        #证书文件
        ssl_certificate     www.example.com.crt;
        #私钥文件
        ssl_certificate_key www.example.com.key;        #优先采取服务器算法
        ssl_prefer_server_ciphers on;
        #使用DH文件
        ssl_dhparam /etc/ssl/certs/dhparam.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        #定义算法
        ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
        #减少点击劫持
        add_header X-Frame-Options DENY;
        #禁止服务器自动解析资源类型
        add_header X-Content-Type-Options nosniff;
        #防XSS攻擊
        add_header X-Xss-Protection 1;
        #...

强制使用 HTTPS

为了兼容原来80端口的HTTP方式的访问，可以将80端口的访问请求全部转发到443端口上，在 upstream 与 server 之间增加配置如下

## your-domain.com ##
server {
    listen       80;
    server_name  your-domain.com;    location = / {
        rewrite ^/(.*) https://your-domain.com/$1 permanent;     # force redirect http to https
    }    location / {
        rewrite ^/(.*) https://your-domain.com/ permanent;       # force redirect http to https
    }
}