ssl - Nginx 将 http://www 和裸 http/https 重定向到 https://www

Question

我想重定向来自以下域的所有流量：

• http://domain.com
• http://www.domain.com
• https://domain.com

至

• https://www.domain.com

我有上述域的 SSL 证书。它托管了一个 Rails 应用程序，由Passenger 提供服务。

为了完成裸域重定向，我在我的 DNSimple 帐户中设置了 URL 重定向：

URL domain.com  3600  https://www.domain.com

我的服务器块如下（受Nginx no-www to www 和 www to no-www等启发）：

server {
    listen          80;
    listen          443;
    server_name     domain.com;

    ssl                             on;
    ssl_certificate                 /etc/ssl/domain-ssl.crt;
    ssl_certificate_key             /etc/ssl/domain.key;
    ssl_session_timeout             5m;
    ssl_protocols                   SSLv2 SSLv3 TLSv1;
    ssl_ciphers                     HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers       on;

    server_tokens   off;
    access_log      /dev/null;
    error_log       /dev/null;

    return 301 https://www.domain.com$request_uri;
}

server {
    listen          443 ssl;
    server_name     www.domain.com;

    root                            /home/deploy/app/current/public;
    passenger_enabled               on;
    passenger_app_env               production;
    passenger_set_cgi_param         HTTP_X_FORWARDED_PROTO https;

    ssl                             on;
    ssl_certificate                 /etc/ssl/domain-ssl.crt;
    ssl_certificate_key             /etc/ssl/domain.key;
    ssl_session_timeout             5m;
    ssl_protocols                   SSLv2 SSLv3 TLSv1;
    ssl_ciphers                     HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers       on;
}

passenger_pre_start https://www.domain.com;

什么有效：

• 裸域被重定向到安全https://www
• http://www域被重定向到安全https://www
• https://万维网作品

什么不：

• 裸体https://不起作用，浏览器抛出未找到服务器

基本上我想将所有流量重定向到安全的https://www.domain.com. 我在这里想念什么？

Answer 1

我有类似的情况，这就是我解决重定向的方法

https://domain.com -----> https://www.domain.com

   server {
      listen        443;
       server_name    domain.com;
         if ($host = domain.com) {
        rewrite ^(.*) https://www.domain.com:443$request_uri? permanent;
    }

希望这可以帮助！

在 nginx 中使用 if 条件

指令 if 在位置上下文中使用时会出现问题，在某些情况下，它并没有达到您的预期，而是完全不同。在某些情况下，它甚至会出现段错误。如果可能的话，通常最好避免它。如果在位置上下文中，唯一可以在内部完成的 100% 安全的事情是：return ...；重写...最后;

Answer 2

如果您没有 domain.com 的证书，则从https://domain.com重定向到https://www.domain.com将不起作用，因为在浏览器获得重定向之前，它必须成功建立 SSL 连接（https 是 SSL 中的 http），因为证书不匹配而失败。

Answer 3

以下将有所帮助。

server {
            listen 80;
            listen [::]:80;
            server_name example.com www.example.com;


            return 301 https://www.example.com$request_uri;
    }

  server {
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name example.com;
            return 301 https://www.example.com$request_uri;
   }

server {
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name www.example.com;

   ====>>> Your site configuratioin Goes here <<======
}

Answer 4

为裸域提供特定的服务器块以及一般默认值。更具体的将首先使用。

    server {
            listen 80;
            listen [::]:80;
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name example.com;

            return 301 https://www.$host$request_uri;
    }
    server {
            listen 80 default_server;
            listen [::]:80 default_server;

            return 301 https://$host$request_uri;
    }
    server {
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name www.example.com;
            # omitting the rest for https://www.example.com
    }

我将 Let's Encrypt 用于我的证书，因此类似以下内容default_server可防止重定向 ACME 质询（注意第二个通配符 server_name 用于处理所有https://*.example.com没有自己的服务器块的内容）。

    # omit server_name example.com block, same as above
    server {
            listen 80 default_server;
            listen [::]:80 default_server;

            location ~ ^/\.well-known/acme-challenge {
                # LetsEncrypt
                add_header Content-Type text/plain;
                expires 0;
                alias /var/www/html/acme/$host;
                break;
            }
            location ~ ^/(?!\.well-known/acme-challenge) {
                return 301 https://$host$request_uri;
            }
    }
    server {
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name *.example.com;
            # omitting the rest for https://*.example.com
    }

为裸 example.com、www.example.com 和任何其他设置证书：

sudo certbot certonly --manual -d example.com -d www.example.com -d abc.example.com