Nginx перенаправляет HTTPS, www, IPv6, HTTP2
I пытаюсь избежать цепочек перенаправления в Nginx,который я использую в качестве обратного прокси-сервера для Apache.
Мне удалось найти много документации о перенаправлении HTTP на HTTPS .
Я также нашел много документации о перенаправлении www на голый домен (или наоборот).
Vhosts / веб-сайты являются (по большей части) субдоменами моего основного веб-сайта, example.com .
Справочная информация: Я использую эту конфигурацию, потому что я больше всего знаком с Apache, но я ценю улучшения производительности Nginx и, что более важно, у меня есть приложение NodeJS, работающее на сервере, и я бы хотел, чтобы пользователи иметь возможность получить к нему доступ, не добавляя порт к запросу. Nginx прослушивает порт 80 для HTTP и порт 443 для HTTPS и направляет запросы на порты, которые я настроил для использования Apache и NodeJS (порт 8080 для Apache и порт 4000 для Node).
Изменить: Я нашел инструменты генератора конфигурации на nginxconfig.io будут очень полезными, и многое из того, что я получил оттуда, было включено без изменений.
Для "основного" веб-сайта я использую www , поэтому мне нужно перенаправить следующие домены на https://www.example.com :
http://example.com
http://www.example.com
https://example.com
Все, что я могу найти, похоже, справляется с этим с помощью двух перенаправлений, таких как:
http: //example.com до https://example.com до https://www.example.com
Ответ в этот вопрос ( который на самом деле является перенаправлением www на голый домен), используется оператор if , но в документации Nginx предлагается избегать операторов if из соображений производительности.
Вопрос. 1 Есть ли способ обработать эти перенаправления за один редирект и без предупреждения о наличии блоков с повторяющимися именами серверов?
Вопрос 2 Когда я настраиваю блок для порта 80, какие параметры мне нужно включить, если все, что я делаю, - это перенаправление?
Мой .conf файл выглядит так:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name www.example.com;
root /var/www/html/example.com;
# SSL
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
# security
include nginxconfig.io/security.conf;
# logging
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log warn;
# index.html fallback
location / {
try_files $uri $uri/ /index.html;
}
# additional config
include nginxconfig.io/general.conf;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name example.com;
include nginxconfig.io/letsencrypt.conf;
location / {
return 301 https://$server_name$request_uri;
}
}
Мне нужно иметь включить nginxconfig.io/letsencrypt.conf; в блок для порта 80?
Нужно ли мне добавлять http2 после директив listen в блоке для порта 80, чтобы запросы HTTP2 через HTTP перенаправлялись на HTTPS, при этом поддерживая HTTP2, или достаточно просто включить директиву http2 в блок для HTTPS / порта 443.
Содержимое ] nginxconfig.io/letsencrypt.conf :
# ACME-challenge
location ^~ /.well-known/acme-challenge/ {
root /var/www/_letsencrypt;
}
Содержимое ... / security.conf :
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
#add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
#add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# . files
location ~ /\.(?!well-known) {
deny all;
}
location ~* (?:#.*#|\.(?:bak|conf|dist|fla|in[ci]|log|orig|psd|sh|sql|sw[op])|~)$ {
deny all;
}
Я действительно планирую реализовать HSTS в конечном итоге, но, очевидно, необходимо получить сначала разобралась моя базовая конфигурация.
Содержание ... / general.conf :
# favicon.ico
location = /favicon.ico {
log_not_found off;
access_log off;
}
# robots.txt
location = /robots.txt {
log_not_found off;
access_log off;
}
# gzip
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;
Предпочтительный путь состоит в том, чтобы иметь отдельное перенаправление от http://example.com до https://example.com, который затем перенаправляет к https://www.example.com.
Это вызвано тем, что, как используются заголовки HSTS. Дополнительная информация в [1 111] https://www.danielmorell.com/blog/how-to-configure-hsts-on-www-and-other-subdomains
Для размещения этого, необходимо заменить:
server_name example.com;
с:
server_name example.com www.example.com;
в Вашем блоке HTTP server.
я предполагаю, что letsencrypt.conf содержит только связанные с TLS настройки, и это не нужно в блоке HTTP server. Однако настройки должны быть, относится к блоку HTTPS server.
, Кроме того, Вам нужно это 301 перенаправление для Вашего example.com домен:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com;
# SSL
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include nginxconfig.io/letsencrypt.conf;
return 301 https://www.example.com;
}