免费ssl证书申请

到 http://www.wosign.com/Products/free_SSL.htm 申请免费的SSL证书。

下载www.iamle.com.zip文件，解压文件，找到for Nginx.zip解压，得到2个文件

1_www.iamle.com_bundle.crt ，2_www.iamle.com.key

改个名字www.iamle.com.crt，www.iamle.com.key传到服务器上备用

Nginx配置SSL证书部署https支持

找到对应的server

增加

listen          443 ssl;
ssl                     on;
ssl_certificate         /usr/local/nginx/conf/ssl/www.iamle.com.crt;
ssl_certificate_key     /usr/local/nginx/conf/ssl/www.iamle.com.key;
ssl_session_timeout     5m;
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers       on;

重新载入nginx配置

[root@do ssl]# /etc/init.d/nginx reload

浏览器信任的https://www.iamle.com 已经可用了~

补充

转换pfx为nginx需要的crt，key

如果已经有一个扩展名为pfx的证书，那么需要转换使用

[root@do ~]# openssl pkcs12 -in www.iamle.com.pfx -nocerts -nodes -out www.iamle.com.key
Enter Import Password: 输入证书密码
MAC verified OK

 

[root@do ~]# openssl pkcs12 -in www.iamle.com.pfx -clcerts -nokeys -out www.iamle.com.crt
Enter Import Password: 输入证书密码
MAC verified OK

生成2个文件 www.iamle.com.key ， www.iamle.com.pfx 复制到你指定的目录

参考文献

http://nginx.org/en/docs/http/configuring_https_servers.html

nginx + php-fpm fastcgi防止跨站、跨目录的安全设置

2014-04-28 by wwek·8条评论

我们知道apache php mod的方式可以很方便的配置 open_basedir 限制各个站点的目录访问权限。

nginx + php-fpm fastcgi的方式需要这样做。

首先php的版本必须大于等于php5.3.3。

总限制通过php-fpm.conf限制

在php-fpm.conf配置文件当中可以增加如下参数

env[TMP] = /tmp/
env[TMPDIR] = /tmp/
env[TEMP] = /tmp/
php_admin_value[sendmail_path] = /usr/sbin/sendmail -t -i -f webmaster@qq.com
php_admin_value[open_basedir] = /home/wwwroot/:/tmp/:/var/tmp:/proc/
php_admin_value[session.save_path] = /tmp/
php_admin_value[upload_tmp_dir] = /tmp/
slowlog = /usr/local/php/var/log/$pool.log
request_slowlog_timeout = 3s

可以配置env，php_admin_value。

那么配置

php_admin_value[open_basedir] = /home/wwwroot/:/tmp/:/var/tmp:/proc/

就可以把整个php脚本的访问目录控制住了。

如果方法1 方法2 方法3未配置的情况下，那么open_basedir的值就为本设置的值,如果方法1 方法2 方法3设置了，那么就是新设置的值。

另外的我这里打开了php慢执行。

slowlog 写保存路径，request_slowlog_timeout写时间。

更多的请看php官网手册 http://www.php.net/manual/en/install.fpm.configuration.php

方法1 在nginx 配置 fastcgi_param参数

在nginx的 php配置中或者在包含的 include fastcgi.conf 文件中加入：

fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

$document_root php文档根目录，就是 nginx 配置项 root 配置的网站目录。

/tmp/目录需要有权限，默认放seesion的位置，以及unixsock。

/proc/ 可以让php查看系统负载信息。

本方法加的各个vhost 虚拟主机，都可以完美使用。都限制到自己的网站目录下。

非常推荐使用，总限制 + 方法1 这样的组合配置方式！！！！！

方法2 在php.ini 中配置

在php.ini的末尾加入：

[HOST=www.iamle.com]
open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/
[PATH=/home/wwwroot/www.iamle.com]
open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/

本方法的弊端，如果有泛域名解析，比如 *.iale.com 。这个就不好控制。

方法3 网站根目录下增加 .user.ini 文件。

在php.ini中找到user_ini.filename 、 user_ini.cache_ttl 去掉前面的分号。

; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
user_ini.filename = ".user.ini"

; To disable this feature set this option to empty value
;user_ini.filename =

; TTL for user-defined php.ini files (time-to-live) in seconds. Default is 300 seconds (5 minutes)
user_ini.cache_ttl = 300

在网站根目录下创建.user.ini 加入：

open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/

这种方式不需要重启nginx或php-fpm服务。

特别注意，需要取消掉.user.ini文件的写权限，这个文件只让最高权限的管理员设置为只读。

方法1设置后，.user.ini的设置就不起作用了。
关于.user.ini文件的详细说明：
http://php.net/manual/zh/configuration.file.per-user.php

隐藏Nginx和PHP版本号

2012-12-03 by wwek·0评论

nginx中
http { server_tokens off;}
php.ini中
expose_php = On改为expose_php = Off

nginx proxy增加后端服务器获取hostname

2012-11-28 by wwek·0评论

nginx proxy反向代理增加后端服务器获取hostname，servername
server
{
listen 80;
server_name *.iamle.com;

location / {
proxy_pass http://10.96.1.104/;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#这句就是给后端增加hostname 获取。
proxy_set_header Host $host;
}
}

nginx https配置笔记

2012-11-12 by wwek·0评论

server{
listen 80;
server_name www.iamle.com;
return 301 https://www.iamle.com$request_uri;
}

server {

listen 443 ssl http2;
ssl    on;
ssl_certificate         /usr/local/nginx/conf/ssl/www.iamle.com.crt;
ssl_certificate_key     /usr/local/nginx/conf/ssl/www.iamle.com.key;
ssl_session_cache           shared:SSL:10m;
ssl_session_timeout         10m;
ssl_session_tickets         off;

ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers             'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers       on;

# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Stricu-Transport-Security "max-age=63072000; includeSubdomains; preload";

# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;

add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection "1; mode=block";

server_name www.iamle.com;
#  ....
}

参考
Mozilla SSL Configuration Generator

流水理鱼

流水理鱼（wwek）的博客

标签： nginx

nginx配置免费的ssl证书，支持https安全访问

免费ssl证书申请

Nginx配置SSL证书部署https支持

补充

转换pfx为nginx需要的crt，key

参考文献

nginx + php-fpm fastcgi防止跨站、跨目录的安全设置

总限制通过php-fpm.conf限制

方法1 在nginx 配置 fastcgi_param参数

方法2 在php.ini 中配置

方法3 网站根目录下增加 .user.ini 文件。

Nginx平滑升级Tengine保留status

隐藏Nginx和PHP版本号

nginx proxy增加后端服务器获取hostname

nginx https配置笔记

标签： nginx

免费ssl证书申请

Nginx配置SSL证书部署https支持

补充

转换pfx为nginx需要的crt，key

参考文献

总限制 通过php-fpm.conf限制

方法1 在nginx 配置 fastcgi_param参数

方法2 在php.ini 中配置

方法3 网站根目录下增加 .user.ini 文件。

总限制通过php-fpm.conf限制