Nginx自签名证书是怎样的

Nginx自签名证书是怎样的

在互联网应用中，HTTPS协议被广泛应用，以保证数据传输过程中的安全性，而Nginx作为一款高性能的Web服务器软件，也可以支持HTTPS协议，在使用Nginx时，我们通常需要为其配置SSL/TLS证书，这些证书可以是第三方机构颁发的，也可以是自签名证书，本文将详细介绍Nginx自签名证书的生成和配置过程。

什么是Nginx自签名证书

Nginx自签名证书是由Nginx服务器自动生成的一种数字证书，它用于加密HTTPS通信过程中的数据，与由第三方机构颁发的证书相比，自签名证书在信任度上有所降低，因为它们不受浏览器和其他操作系统的信任，对于内部网络环境或者测试环境，自签名证书可以满足基本的安全需求。

如何生成Nginx自签名证书

1、安装OpenSSL工具

我们需要安装OpenSSL工具，它是一个开源的加密库，包含了生成SSL/TLS证书所需的工具和程序，在大多数Linux发行版中，可以使用以下命令安装OpenSSL:

sudo apt-get install openssl

2、生成私钥

使用OpenSSL工具生成一个私钥文件，通常以.key为扩展名，执行以下命令：

openssl genrsa -out nginx.key 2048

这将生成一个名为nginx.key的2048位RSA私钥文件。

3、生成证书签名请求(CSR)

接下来，我们需要使用私钥文件生成一个证书签名请求(CSR),它包含了服务器的公钥信息和一些身份验证信息，执行以下命令：

openssl req -new -key nginx.key -out nginx.csr

按照提示输入相关信息，如国家、省份、城市、组织名称等，完成后，将生成一个名为nginx.csr的CSR文件。

4、生成自签名证书

现在我们可以使用私钥文件和CSR文件生成一个自签名证书，执行以下命令：

openssl x509 -req -days 365 -in nginx.csr -signkey nginx.key -out nginx.crt

这将生成一个有效期为365天的自签名证书文件nginx.crt，至此，我们已经成功生成了Nginx自签名证书及其相关文件。

如何配置Nginx使用自签名证书

1、将证书文件上传到服务器

将生成的nginx.crt和nginx.key文件上传到Nginx服务器的指定目录，例如/etc/nginx/ssl/，确保Nginx服务器具有访问这些文件的权限。

2、编辑Nginx配置文件

打开Nginx的配置文件(通常位于/etc/nginx/sites-available/default或/etc/nginx/nginx.conf),找到server块，修改其中的listen指令，将其指向一个未使用的端口(例如443),并添加以下内容：

server {
    ...
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ...
}

这将告诉Nginx使用刚刚上传的自签名证书和私钥进行安全通信，如果需要启用HTTP2和SPDY3协议，还需要添加以下内容：

server {
    ...
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  可以添加其他协议版本，如TLSv1.3;不建议使用较旧的协议版本，以获得更好的安全性和性能；默认情况下，Nginx仅支持TLSv1和TLSv1.1;如需使用TLSv1.3,请确保OpenSSL版本至少为1.1.1。
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384';  可以添加其他密码套件；默认情况下，Nginx支持常用的密码套件；如需使用更安全的密码套件，请参考OpenSSL文档。
    ssl_prefer_server_ciphers on;  如果可能的话，优先使用服务器端选择的密码套件；这可以提高安全性和性能。
    ssl_session_cache shared:SSL:1m;  设置会话缓存大小；较大的值可以减少内存消耗，但可能会增加CPU负载；默认情况下，Nginx使用共享会话缓存。
    ssl_session_timeout 1h;  设置会话超时时间；较长的值可以减少因长时间无活动而导致的连接关闭；默认情况下，Nginx的会话超时时间为15分钟。
    ...
}

3、重启Nginx服务

完成配置后，重启Nginx服务以使更改生效：

sudo service nginx restart
```或

sudo systemctl restart nginx

“`(取决于您的系统及Nginx安装方式)，至此，我们已经成功配置了Nginx使用自签名证书进行HTTPS通信。