在Linux上使用OpenSSL配置HTTP严格传输安全(HSTS)涉及几个步骤。以下是一个基本的指南:
首先,确保你的系统上已经安装了OpenSSL。大多数Linux发行版默认已经安装了OpenSSL,但如果没有,可以使用包管理器进行安装。
sudo apt-get update
sudo apt-get install openssl
为了测试HSTS,你可以生成一个自签名证书。请注意,自签名证书不会被浏览器信任,仅用于测试目的。
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
按照提示输入所需的信息,如国家、组织名称等。
假设你使用的是Apache或Nginx作为Web服务器,下面是如何在这两种服务器上配置HSTS。
编辑Apache配置文件(通常是/etc/apache2/sites-available/your-site.conf),添加以下内容:
<VirtualHost *:443>
ServerName yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /path/to/cert.pem
SSLCertificateKeyFile /path/to/key.pem
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</VirtualHost>
确保将/path/to/cert.pem和/path/to/key.pem替换为你的证书和密钥的实际路径。
然后启用站点并重启Apache:
sudo a2ensite your-site.conf
sudo systemctl restart apache2
编辑Nginx配置文件(通常是/etc/nginx/sites-available/your-site),添加以下内容:
server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/key.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
root /var/www/html;
index index.html index.htm;
}
确保将/path/to/cert.pem和/path/to/key.pem替换为你的证书和密钥的实际路径。
然后启用站点并重启Nginx:
sudo ln -s /etc/nginx/sites-available/your-site /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx
你可以使用浏览器开发者工具或在线工具(如SSL Labs)来验证HSTS配置是否正确。
max-age过期。includeSubDomains选项将HSTS策略应用于所有子域名。preload选项允许你的域名被添加到浏览器的预加载列表中,这样浏览器在首次访问时就会强制使用HTTPS。通过以上步骤,你应该能够在Linux上使用OpenSSL配置HSTS。