วิธีการบังคับหรือเปลี่ยนเส้นทางไปยัง SSL ใน nginx

ฉันมีหน้าลงทะเบียนในโดเมนย่อยเช่น: https://signup.example.com

มันควรจะสามารถเข้าถึงได้ผ่าน HTTPS แต่ฉันกังวลว่าผู้คนอาจสะดุดมันผ่าน HTTP และรับ 404

html / server block ของฉันใน nginx มีลักษณะดังนี้:

html {
  server {
    listen 443;
    server_name signup.example.com;

    ssl                        on;
    ssl_certificate        /path/to/my/cert;
    ssl_certificate_key  /path/to/my/key;

    ssl_session_timeout 30m;

    location / {
      root /path/to/my/rails/app/public;
      index index.html;
        passenger_enabled on;
    }
  }
}

สิ่งที่ฉันสามารถเพิ่มเพื่อให้ผู้คนที่ไปhttp://signup.example.comได้รับการเปลี่ยนเส้นทางไปยังhttps://signup.example.com? (FYI ฉันรู้ว่ามีปลั๊กอิน Rails ที่สามารถบังคับได้SSLแต่หวังว่าจะหลีกเลี่ยงได้)

ตามข้อผิดพลาดของ nginxจะดีกว่าเล็กน้อยที่จะละเว้นการจับที่ไม่จำเป็นใช้$request_uriแทน ในกรณีดังกล่าวให้ใส่เครื่องหมายคำถามต่อท้ายเพื่อป้องกัน nginx ไม่ให้เพิ่มคิวรีแบบสอบถามใด ๆ เป็นสองเท่า

server {
    listen      80;
    server_name signup.mysite.com;
    rewrite     ^   https://$server_name$request_uri? permanent;
}

วิธีที่ดีที่สุดตามที่อธิบายไว้ในวิธีการอย่างเป็นทางการคือการใช้returnคำสั่ง:

server {
    listen      80;
    server_name signup.mysite.com;
    return 301 https://$server_name$request_uri;
}

นี่เป็นวิธีที่ถูกต้องและมีประสิทธิภาพมากที่สุดหากคุณต้องการเก็บไว้ในบล็อกเซิร์ฟเวอร์เดียว:

server {
    listen   80;
    listen   [::]:80;
    listen   443 default_server ssl;

    server_name www.example.com;

    ssl_certificate        /path/to/my/cert;
    ssl_certificate_key  /path/to/my/key;

    if ($scheme = http) {
        return 301 https://$server_name$request_uri;
    }
}

ทุกอย่างข้างต้นโดยใช้ "เขียนใหม่" หรือ "if ssl_protocol" ฯลฯ ช้าลงและแย่ลง

ที่นี่เหมือนกัน แต่มีประสิทธิภาพมากขึ้นโดยการรันการเขียนใหม่บนโปรโตคอล http เท่านั้นมันหลีกเลี่ยงการตรวจสอบตัวแปร $ scheme ในทุกคำขอ แต่อย่างจริงจังมันเป็นเรื่องเล็กน้อยที่คุณไม่จำเป็นต้องแยกพวกเขาออก

server {
    listen   80;
    listen   [::]:80;

    server_name www.example.com;

    return 301 https://$server_name$request_uri;
}
server {
    listen   443 default_server ssl;

    server_name www.example.com;

    ssl_certificate        /path/to/my/cert;
    ssl_certificate_key  /path/to/my/key;
}

หากคุณกำลังใช้นิยามเซิร์ฟเวอร์ HTTP และ HTTPS คู่ใหม่คุณสามารถใช้สิ่งต่อไปนี้:

server {
    listen   80;
    listen   [::]:80;
    listen   443 default ssl;

    server_name www.example.com;

    ssl_certificate        /path/to/my/cert;
    ssl_certificate_key  /path/to/my/key;

    if ($ssl_protocol = "") {
       rewrite ^   https://$server_name$request_uri? permanent;
    }
}

ดูเหมือนว่าจะใช้งานได้สำหรับฉันและไม่ทำให้เกิดการเปลี่ยนเส้นทาง

แก้ไข:

แทนที่:

rewrite ^/(.*) https://$server_name/$1 permanent;

ด้วยบรรทัดเขียนใหม่ของ Pratik

อีกตัวแปรหนึ่งที่เก็บรักษา Host: request header และปฏิบัติตามตัวอย่าง "GOOD" บนข้อผิดพลาด nginx :

server {
    listen   10.0.0.134:80 default_server;

    server_name  site1;
    server_name  site2;
    server_name  10.0.0.134;

    return 301 https://$host$request_uri;
}

นี่คือผลลัพธ์ โปรดทราบว่าใช้$server_nameแทนมักจะเปลี่ยนเส้นทางไปยัง$hosthttps://site1

# curl -Is http://site1/ | grep Location
Location: https://site1/

# curl -Is http://site2/ | grep Location
Location: https://site2/


# curl -Is http://site1/foo/bar | grep Location
Location: https://site1/foo/bar

# curl -Is http://site1/foo/bar?baz=qux | grep Location
Location: https://site1/foo/bar?baz=qux

ตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่า 'ความปลอดภัย' บนคุกกี้ใด ๆ มิฉะนั้นจะถูกส่งไปตามคำขอ HTTP และสามารถใช้เครื่องมือเช่น Firesheep

server {
    listen x.x.x.x:80;

    server_name domain.tld;
    server_name www.domian.tld;
    server_name ipv4.domain.tld;

    rewrite     ^   https://$server_name$request_uri? permanent;
}

มันใช้งานได้ดีกว่าที่ฉันคิด xxxx หมายถึง IP ของเซิร์ฟเวอร์ของคุณ หากคุณทำงานกับ Plesk 12 คุณสามารถทำได้โดยการเปลี่ยนไฟล์ "nginx.conf" ในไดเรกทอรี "/var/www/vhosts/system/domain.tld/conf" สำหรับโดเมนที่คุณต้องการ อย่าลืมรีสตาร์ทเซอร์วิส nginx หลังจากคุณบันทึกการกำหนดค่า

ฉันคิดว่านี่เป็นทางออกที่ง่ายที่สุด บังคับใช้ทั้งทราฟฟิกที่ไม่ใช่ HTTPS และที่ไม่ใช่ WWW ไปยัง HTTPS และ www เท่านั้น

server {
    listen 80;
    listen 443 ssl;

    server_name domain.tld www.domain.tld;

    # global HTTP handler
    if ($scheme = http) {
        return 301 https://www.domain.tld$request_uri;
    }

    # global non-WWW HTTPS handler
    if ($http_host = domain.tld) {
        return 303 https://www.domain.tld$request_uri;
    }
}

แก้ไข - เม.ย. 2561: ทางออกที่ไม่มีหากพบได้ในโพสต์ของฉันที่นี่: https://stackoverflow.com/a/36777526/6076984