使用OpenSSL为Nginx签发自签名证书

本文介绍使用openssl命令为nginx生成自签名的证书。注:仅用于本地测试使用,自签名证书不被浏览器认可,不能应用于生产环境。

一、生成RSA私钥

$ openssl genrsa -out local.lyz810.com.key 2048

上述命令在当前目录下使用RSA2048算法生成一个文件名为local.lyz810.com.key的pem格式的私钥。

二、使用生成好的私钥签发证书

$ openssl req -new -x509 -days 3650 -key local.lyz810.com.key -out lyz810.com.crt

输入命令后,会提示输入一些信息,由于是测试使用,可以任意填写。
配置好后添加到nginx上,浏览器打开会提示证书错误,选择继续访问即可。

三、openssl genrsa用法说明
genrsa的语法如下:

openssl genrsa [-help] [-out filename] [-passout arg] [-aes128] [-aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]

参数详解:
-help:打印帮助信息
-out filename:生成文件的名称
-passout arg:生成的文件的短语密码源
-aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea:这些选项会在输出私钥文件前使用该参数的加密算法将私钥加密。如果没有这些参数中的一个,则生成的私钥没有密码保护。如果没有通过passout指定短语密码,则会提示输入短语密码用于加密。
-F4|-3:使用的公开指数,值为65537或3,默认为65537
-rand files(s):一个或多个包含用于随机数发生器播种的随机数据的文件或EGD socket。多个文件之间的分隔符根据系统不同而不同,Windows中是分号“;”,OpenVMS中是逗号“,”,其他系统中是冒号“:”。
-engine id:通过唯一的id指定一个引擎。
-numbits:私钥长度,默认是512位,处于安全建议1024以上,不过测试环境可以忽略。

四、openssl req用法说明
req的语法如下:

openssl req [-help] [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits] [-newkey alg:file] [-nodes] [-key filename] [-keyform PEM|DER] [-keyout filename] [-keygen_engine id] [-[digest]] [-config filename] [-multivalue-rdn] [-x509] [-days n] [-set_serial n] [-newhdr] [-extensions section] [-reqexts section] [-utf8] [-nameopt] [-reqopt] [-subject] [-subj arg] [-batch] [-verbose] [-engine id]

参数详解:
-help:打印帮助信息
-inform PEM|DER:私钥的格式,默认为PEM,第一步到处的证书即PEM格式,因此此参数省略。
-outform PEM|DER:输出的格式,含义同上,默认PEM。
-in filename:指定读取请求的文件名,只有在没有指定-new和-newkey参数时有效。如果没有指定文件名,则从标准输入中获取。
-passin arg:输入文件的密码源
-out filename:输出文件名
-passout arg:输出文件的密码源
-text:打印请求文件的文本格式
-subject:打印请求文件的主题(如果有-x509则为证书的主题)
-pubkey:输出公钥
-noout:禁止输出经过编码版本的请求
-modulus:打印请求中包含的公钥系数值
-verify:验证请求的签名
-new:该选项生成一个新的证书请求。它会让用户输入相关域的信息。如果没有key选项则会根据配置文件生成一个私钥。
-rand file(s):参见genrsa中该参数的说明
-newkey arg:该选项创建一个新证书请求和一个新的私钥。参数使用以下几种形式之一,rsa:nbits,nbits为比特位数,用于生成RSA密钥长度,如果忽略nbits,则使用配置文件中的默认大小。
其他所有算法支持-newkey alg:file格式,file是算法参数文件,通过genpkey -genparam命令或X.509证书适当的秘钥算法。
param:file:使用参数文件或证书文件生成的密钥文件,算法取决于参数。
algname:file:使用algname算法和file参数文件。
dsa:filename:使用filename文件中的参数生成DSA密钥。
-pkeyopt opt:value:设置公钥的选项opt的值value。
-key filename:指定私钥的文件名,私钥格式默认为PEM。
-keyform PEM|DER:指定私钥的格式
-keyout filename:在指定文件中写入新创建的私钥,如未指定,则使用配置文件中的设置。
-nodes:该参数指定后,如果生成私钥则不加密。
-[digest]:用于签名请求信息的摘要
-config filename:配置文件的位置,可选项。
-subj arg:设置主题,格式/type0=value0/type1=value1/type2=…,字符可以用\转义,没有空格会被跳过。
-multivalue-rdn:该选项会使-subj参数解释为完全支持多值RDN,例如/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe,如果没有使用该参数,则UID的值是123456+CN=John Doe
-x509:该参数说明输出是一个自签名证书而不是证书请求。
-days n:有效期天数,默认为30天。
-set_serial n:输出自签名证书用的序列号,可以是十进制的值或0x开头的十六进制的值。
其他参数略。

Nginx配置WordPress与HSTS

本文介绍HSTS基本概念,以及在nginx上配置HSTS的方法,配置站点基于WordPress。

本博客(https://blog.lyz810.com)已开启HSTS,读者可以尝试访问http协议,并观察浏览器的行为。
一、背景介绍
HSTS(HTTP Strict Transport Security)是HTTP严格传输安全,它是全站HTTPS时的一个更安全的策略,并且对网站性能有一定的优化。
全站HTTPS是一个必然的趋势,目前全站HTTPS通常的做法是同时开启80和443端口,当请求访问的是http协议时,通过rewrite将请求301重定向到https协议的对应URI。这么做的缺点是当用户访问http协议的页面时,总会有一次301重定向,增加网络请求以及服务器负担。
使用HSTS后,浏览器在第一次访问http协议时,会通过rewrite重定向到https协议,并根据https协议头中设定的相关响应头缓存下HSTS配置,下次用户再访问该站点下的任意http页面,浏览器会自动通过307跳转到https对应的URI上,不需要向服务器多发送一次请求。
HSTS配置方法如下:
1.当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。
2.Strict-Transport-Security有3个参数,max-age表示有效期(如max-age=31536000表示未来的一年内,访问该域名会强制使用https,其中数字表示一年的秒数);includeSubDomains表示子域名也强制使用https;preload主要用于加入preload列表使用。
preload列表是一个站点的列表,他将会被通过硬编码写入 Chrome 浏览器中,列表中的站点将会默认使用 HTTPS 进行访问,此外,Firefox 、Safari 、IE 11 和 Edge 也同样一份 HSTS 站点列表,其中包括了 Chrome 的列表
加入preload列表的条件:

  • 有一张有效的证书
  • 重定向所有的 HTTP 流量到 HTTPS ( HTTPS ONLY )
  • 全部子域名的流量均通过 HTTPS ,如果子域名的 www 存在的话也同样需要通过 HTTPS 传输。
  • 为https协议添加的响应头Strict-Transport-Securit内容必须满足:max-age必须大于18周,必须指定includeSubDomains和preload,如果从当前https站点重定向到其他的站点,那个站点也必须启用HSTS

加入HSTS preload list:https://hstspreload.appspot.com/
二、Nginx配置

server {
  ......
  if ( $https != "on" ) {#https变量的值在https协议下为on,否则为空字符串
     rewrite ^(.*) https://$host$1 permanent;#301定向到https协议的相同URI,主要是首次访问本站的请求使用
     break;
  }

  location / {
     try_files $uri $uri/ /index.php$args;#此行是WordPress使用的,它会将请求都交给/index.php处理
     add_header Strict-Transport-Security max-age=86400000;#添加响应头,过期时间1000天,即1000天之内,浏览器会自动将本站http协议转为https协议
  }

  location ~ \.php$ {
     fastcgi_pass localhost:9000;#fastcgi监听9000端口,其他fastcgi配置写在了公用配置文件中
     add_header Strict-Transport-Security max-age=86400000;#由于正则的优先级更高,所以所有动态的页面均会走这里,需要添加响应头
   }
}

三、使用HSTS的弊端
用户只要访问一次站点,就会在max-age指定的时间内,强制访问https协议,在此期间,如果网站https出现了问题(如证书配置错误),用户就无法进行访问,没有配置HSTS时,证书错误用户可以选择忽略错误继续访问。
如果想要在过期时间内再次开启http访问,是无法做到的(对没有访问过站点的用户可行,只要访问过,过期时间前用户不能访问http协议),如果加入到HSTS Preload List中,就更没有办法启用http访问。
四、浏览器支持度
Chromium和Google Chrome从4.0.211.0版本开始支持HSTS
Firefox 4及以上版本
Opera 12及以上版本
Safari从OS X Mavericks起
Internet Explorer和Microsoft Edge从Windows 10开始支持