Я пытаюсь избежать цепочек перенаправления в Nginx, который я использую как обратный прокси для Apache.
Мне удалось найти много документации по перенаправлению HTTP к HTTPS.
Я также нашел много документации по перенаправлению www в голый домен (или наоборот).
Vhosts / веб-сайты (по большей части) являются поддоменами моего основного веб-сайта, example.com.
Задний план: Я использую эту конфигурацию, потому что я больше всего знаком с Apache, но я ценю улучшения производительности Nginx и, что более важно, у меня есть приложение NodeJS, работающее на сервере, и я бы хотел, чтобы пользователи могли получить к нему доступ без добавления порта на запрос. Nginx прослушивает порт 80 для HTTP и порт 443 для HTTPS и направляет запросы на порты, которые я настроил для использования Apache и NodeJS (порт 8080 для Apache и порт 4000 для Node).
Редактировать: Я нашел инструменты генератора конфигурации на nginxconfig.io чтобы быть очень полезным, и многое из того, что я получил оттуда, было включено без изменений.
Для "основного" сайта я использую www субдомен, поэтому мне нужно перенаправить следующие домены на https://www.example.com:
http://example.com
http://www.example.com
https://example.com
Все, что я могу найти, похоже, справляется с этим с помощью двух перенаправлений, таких как:
http://example.com к https://example.com к https://www.example.com
Ответ в этот вопрос (что на самом деле является перенаправлением www к голому домену), использует if заявление, но в документации Nginx рекомендуется избегать if заявления по соображениям производительности.
Вопрос 1 Есть ли способ обработать эти перенаправления за одно перенаправление и без предупреждения о наличии блоков с повторяющимися именами серверов?
вопрос 2 Когда я настраиваю блок для порта 80, какие параметры мне нужно включить, если все, что я делаю, это перенаправление?
Мой .conf файл выглядит так:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name www.example.com;
root /var/www/html/example.com;
# SSL
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
# security
include nginxconfig.io/security.conf;
# logging
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log warn;
# index.html fallback
location / {
try_files $uri $uri/ /index.html;
}
# additional config
include nginxconfig.io/general.conf;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name example.com;
include nginxconfig.io/letsencrypt.conf;
location / {
return 301 https://$server_name$request_uri;
}
}
Мне нужно иметь include nginxconfig.io/letsencrypt.conf; в блоке для порта 80?
Мне нужно добавить http2 после listen директивы в блоке для порта 80, чтобы запросы HTTP2 через HTTP перенаправлялись на HTTPS, при этом поддерживая HTTP2, или достаточно просто включить http2 директива в блоке для HTTPS / порт 443.
Содержание nginxconfig.io/letsencrypt.conf являются:
# ACME-challenge
location ^~ /.well-known/acme-challenge/ {
root /var/www/_letsencrypt;
}
Содержание .../security.conf являются:
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
#add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
#add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# . files
location ~ /\.(?!well-known) {
deny all;
}
location ~* (?:#.*#|\.(?:bak|conf|dist|fla|in[ci]|log|orig|psd|sh|sql|sw[op])|~)$ {
deny all;
}
В конечном итоге я планирую внедрить HSTS, но, очевидно, сначала нужно разобраться с моей базовой конфигурацией.
Содержание .../general.conf:
# favicon.ico
location = /favicon.ico {
log_not_found off;
access_log off;
}
# robots.txt
location = /robots.txt {
log_not_found off;
access_log off;
}
# gzip
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;
Предпочтительный способ - иметь отдельное перенаправление от http://example.com к https://example.com который затем перенаправляется на https://www.example.com.
Это связано с тем, как используются заголовки HSTS. Дополнительная информация на https://www.danielmorell.com/blog/how-to-configure-hsts-on-www-and-other-subdomains
Чтобы приспособиться к этому, вам необходимо заменить:
server_name example.com;
с участием:
server_name example.com www.example.com;
в вашем HTTP server блок.
Я предполагаю что letsencrypt.conf содержит только настройки, относящиеся к TLS, и они не нужны в HTTP server блок. Однако настройки должны применяться к HTTPS. server блок.
Кроме того, вам понадобится 301 редирект для вашего example.com домен:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com;
# SSL
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include nginxconfig.io/letsencrypt.conf;
return 301 https://www.example.com;
}