OpenSSL如何配置Linux服务器的HSTS

配置Linux服务器上的HTTP Strict Transport Security (HSTS) 可以通过使用OpenSSL和Nginx或Apache等Web服务器来实现。以下是使用Nginx和OpenSSL配置HSTS的步骤：

使用Nginx和OpenSSL配置HSTS

1. 安装Nginx： 如果你还没有安装Nginx，可以使用以下命令进行安装：

   sudo apt update
   sudo apt install nginx
   

2. 生成SSL证书： 使用OpenSSL生成自签名SSL证书。请注意，自签名证书不会被浏览器信任，仅用于测试目的。

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
   

3. 配置Nginx： 编辑Nginx配置文件（通常位于/etc/nginx/sites-available/default），添加SSL配置和HSTS头。

   sudo nano /etc/nginx/sites-available/default
   

   在server块中添加以下内容：

   server {
       listen 443 ssl;
       server_name yourdomain.com;
   
       ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
       ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
   
       add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
   
       location / {
           root /var/www/html;
           index index.html index.htm;
       }
   }
   
   server {
       listen 80;
       server_name yourdomain.com;
       return 301 https://$host$request_uri;
   }
   

   解释：

   • listen 443 ssl;：监听443端口并启用SSL。
   • ssl_certificate 和 ssl_certificate_key：指定SSL证书和密钥的路径。
   • add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;：添加HSTS头，max-age=31536000表示HSTS策略有效期为一年，includeSubDomains表示所有子域名也应用HSTS。
   • 第二个server块将所有HTTP请求重定向到HTTPS。

4. 测试Nginx配置： 在重新加载Nginx之前，测试配置文件是否有语法错误。

   sudo nginx -t
   

5. 重新加载Nginx： 如果配置文件没有问题，重新加载Nginx以应用更改。

   sudo systemctl reload nginx
   

使用Apache和OpenSSL配置HSTS

1. 安装Apache： 如果你还没有安装Apache，可以使用以下命令进行安装：

   sudo apt update
   sudo apt install apache2
   

2. 生成SSL证书： 使用OpenSSL生成自签名SSL证书。请注意，自签名证书不会被浏览器信任，仅用于测试目的。

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
   

3. 配置Apache： 编辑Apache配置文件（通常位于/etc/apache2/sites-available/000-default.conf），添加SSL配置和HSTS头。

   sudo nano /etc/apache2/sites-available/000-default.conf
   

   在<VirtualHost *:443>块中添加以下内容：

   <VirtualHost *:443>
       ServerName yourdomain.com
   
       SSLEngine on
       SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
   
       Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
   
       DocumentRoot /var/www/html
   </VirtualHost>
   
   <VirtualHost *:80>
       ServerName yourdomain.com
       Redirect permanent / https://yourdomain.com/
   </VirtualHost>
   

   解释：

   • SSLEngine on：启用SSL。
   • SSLCertificateFile 和 SSLCertificateKeyFile：指定SSL证书和密钥的路径。
   • Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"：添加HSTS头。
   • 第二个<VirtualHost *:80>块将所有HTTP请求重定向到HTTPS。

4. 启用SSL模块： 确保启用了SSL模块。

   sudo a2enmod ssl
   

5. 测试Apache配置： 在重新加载Apache之前，测试配置文件是否有语法错误。

   sudo apache2ctl configtest
   

6. 重新加载Apache： 如果配置文件没有问题，重新加载Apache以应用更改。

   sudo systemctl reload apache2
   

通过以上步骤，你可以在Linux服务器上使用OpenSSL和Nginx或Apache配置HSTS。请记住，自签名证书仅适用于测试环境，生产环境中应使用受信任的证书颁发机构（CA）签发的证书。