Итак, я настраиваю сервер nginx и устанавливаю wordpress и SSL.
Сайт отлично работает как с http, так и с https, но когда я пытаюсь перенаправить http на https через серверный блок nginx, и http, и https приводят к бесконечному циклу перенаправления.
Вот мой серверный блок
server {
listen 80;
return 301 $server_name$request_uri;
listen 443 ssl spdy;
root /var/www/wordpress;
index index.php index.html index.htm;
server_name www.example.com;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
spdy_headers_comp 6;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /etc/ssl/certs/www.example.com.certchain.crt;
ssl_certificate_key /etc/ssl/private/www.example.com.key;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header Alternate-Protocol 443:npn-spdy/2;
proxy_set_header X-Forwarded-Proto https;
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;
error_page 404 /404.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
location / {
proxy_set_header X-Forwarded-Proto $scheme;
# try_files $uri $uri/ =404;
try_files $uri $uri/ /index.php?q=$uri&$args;
if ($http_referer ~* (buttons-for-website.com)) { return 444; }
if ($http_referer ~* (semalt.com)) { return 444; }
}
location ~ \.(hh|php)$ {
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-Forwarded-Ssl on;
fastcgi_keep_conn on;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
fastcgi_cache_bypass $skip_cache;
fastcgi_no_cache $skip_cache;
fastcgi_cache microcache;
fastcgi_cache_valid 200 60m;
}
location ~ \.php$ {
location @fallback {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
include fastcgi_params;
fastcgi_cache_bypass $skip_cache;
fastcgi_no_cache $skip_cache;
fastcgi_cache microcache; fastcgi_cache_valid 200 60m;
}
# Cache Static Files For As Long As Possible
location ~*
\.(ogg|ogv|svg|svgz|eot|otf|woff|mp4|ttf|css|rss|atom|js|jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|$
{
access_log off;
log_not_found off;
expires max;
}
# Security Settings For Better Privacy Deny Hidden Files
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
# Return 403 Forbidden For readme.(txt|html) or license.(txt|html)
if ($request_uri ~* "^.+(readme|license)\.(txt|html)$") {
return 403;
}
# Disallow PHP In Upload Folder
location /wp-content/uploads/ {
location ~ \.php$ {
deny all;
}
}
}
Я очень признателен за чью-либо помощь. Я прокомментировал, что «return 301» в 3-й строке, и Google проиндексировал как http, так и https версию одной и той же страницы, деиндексировал большинство моих страниц и снизил рейтинг для нескольких ключевых слов.
Заранее спасибо!
Когда Nginx обрабатывает запрос, он первый идентифицирует блок сервера, который будет обрабатывать запрос. Это означает, что он будет соответствовать директивам server_name и listen.
В вашем случае единственный серверный блок, который у вас есть, содержит:
server {
listen 80;
return 301 $server_name$request_uri;
listen 443 ssl spdy;
root /var/www/wordpress;
index index.php index.html index.htm;
server_name www.example.com;
...
Это будет прослушивать и порт 80, и порт 443. Тот факт, что у вас есть директива возврата между ними, не имеет значения, поскольку директива возврата на этом этапе не обрабатывается.
После сопоставления серверного блока Nginx перейдет к обработке других директив. В случае директив перезаписи (например, return) они обрабатываются в заказ указан. В случае директив местоположения они обрабатываются в зависимости от специфики совпадения (точные правила указаны Вот).
Чтобы реализовать перенаправление, вы должны выделить директиву rewrite в отдельный серверный блок:
server {
listen 80;
server_name www.example.com;
return 301 https://www.example.com$request_uri;
}
server {
listen 443 ssl spdy;
server_name www.example.com;
root /var/www/wordpress;
index index.php index.html index.htm;
...
}
Обратите внимание, что вам необходимо указать, что вы возвращаете версию HTTPS, а не ту же (HTTP) версию страницы. В некоторых случаях может быть предпочтительнее жестко запрограммировать имя сервера (например, если вы хотите перенаправить трафик с www и без www на одну и ту же страницу HTTPS).
Изменить: чтобы ответить на ваш комментарий:
Вы хотите получать контент из https://www.example.com и вам нужны следующие перенаправления:
http://(www.)?example.com перенаправляет на https://www.example.comhttps://example.com перенаправляет на https://www.example.comДля этого понадобится 3 серверных блока:
server { #Redirect non-https to https - match both www and non-www
listen 80;
server_name www.example.com example.com;
return 301 https://www.example.com$request_uri;
}
server { #Redirect https, non-www to https, www
listen 443 ssl spdy;
server_name example.com;
ssl_certificate /etc/ssl/certs/www.example.com.certchain.crt;
ssl_certificate_key /etc/ssl/private/www.example.com.key;
return 301 https://www.example.com$request_uri;
}
server { #Main server block
listen 443 ssl spdy;
server_name www.example.com;
root /var/www/wordpress;
index index.php index.html index.htm;
ssl_certificate /etc/ssl/certs/www.example.com.certchain.crt;
ssl_certificate_key /etc/ssl/private/www.example.com.key;
...
}
Несколько важных моментов, о которых стоит упомянуть:
В вашем сертификате SSL должны быть указаны как www.example.com, так и example.com в качестве альтернативных имен субъектов. Даже если вы перенаправляете с example.com, SSL-соединение все равно устанавливается до перенаправления. Без действительного сертификата для example.com пользователь получит предупреждение о недопустимом сертификате, и перенаправление не произойдет. (Это также означает, что вы должны включить сертификат в https://example.com блок)
Поскольку для перенаправления требуется несколько блоков сервера SSL, предпочтительно переместить часть вашей конфигурации SSL за пределы блока сервера (в блок http). Это включает: ssl_session_timeout, ssl_session_cache, ssl_protocols, ssl_ciphers, ssl_prefer_server_ciphers, ssl_stapling, ssl_stapling_verify, ssl_trusted_certificate, ssl_dhparam, и ваш заголовок HSTS. (Кроме того, я настоятельно рекомендую посмотреть TLS на стороне сервера Mozilla страница)