Удалите «www» и перенаправьте на «https» с помощью nginx

57

Я хочу создать правило в nginx, которое делает две вещи:

Удаляет "www." из запроса URI
Перенаправляет на «https», если URI запроса - «http»

Существует множество примеров того, как выполнять каждую из этих вещей в отдельности, но я не могу найти решение, которое выполняет обе эти функции правильно (то есть не создает цикл перенаправления и правильно обрабатывает все случаи).

Он должен обрабатывать все эти случаи:

1. http://www.example.com/path
2. https://www.example.com/path
3. http://example.com/path
4. https://example.com/path

Все они должны заканчиваться на https://example.com/path (# 4) без зацикливания. Есть идеи?

— Девин
источник

Я просто перенаправил www.mydomain.com на mydomain.com на уровне DNS и добавил 301 для не-https в https в nginx. Похоже , что должно быть хорошо ¯ \ _ (ツ) _ / ¯

— jonathanbell

94

Лучший способ сделать это - использовать три серверных блока: один для перенаправления http на https, один для перенаправления http-имени https на no-www, а второй для фактической обработки запросов. Причина использования дополнительных серверных блоков вместо ifs заключается в том, что выбор сервера выполняется с использованием хеш-таблицы и выполняется очень быстро. Использование уровня сервера if означает, что if запускается для каждого запроса, что бесполезно. Кроме того, захват запрошенного URI в перезаписи является расточительным, так как nginx уже имеет эту информацию в переменных $ uri и $ request_uri (без и со строкой запроса, соответственно).

server {
    server_name www.example.com example.com;
    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl;
    ssl_certificate /path/to/server.cert;
    ssl_certificate_key /path/to/server.key;
    server_name www.example.com;
    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl;
    ssl_certificate /path/to/server.cert;
    ssl_certificate_key /path/to/server.key;
    server_name example.com;

    <locations for processing requests>
}

— kolbyjack
источник

2

Нужен ли средний блок? Разве первый блок уже не переписывается с www на non-www?

— pbreitenbach

3

Первый блок обрабатывает только http. Средний блок необходим для перенаправления запросов https с https: // www.example.com/ на https: // example.com/. (Извините за лишние пробелы, я не могу заставить это показать https иначе)

— kolbyjack

1

просто небольшая заметка о форматировании - если вы хотите избежать создания ссылки, вы можете поместить текст комментария в кавычки `, тот, что под тильдой. Это будет отображаться как:https://example.com/

— Циклоп

9

второй блок также нуждается в сертификате.

— Рика,

3

Пробуя этот ответ, я столкнулся с другой проблемой. Думал я мог переадресацию 301 от www.sub.example.comк sub.example.comи затем только получить сертификат SSL для sub.example.comТеперь я знаю , что проверка сертификата SSL происходит до 301 редиректов, поэтому она не может работать. Более подробное объяснение здесь: serverfault.com/a/358625/144811

— Gruzzles

11

Это работает для меня:

server {
    listen              80;
    server_name         www.yourdomain.com yourdomain.com;
    return              301 https://yourdomain.com$request_uri;
}

server {
    listen              443 ssl;
    server_name         www.yourdomain.com;
    ssl_certificate     /path/to/certificate.crt;
    ssl_certificate_key /path/to/private/key.pem;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    return              301 https://yourdomain.com$request_uri;
}

server {
    listen              443 ssl;
    server_name         yourdomain.com;
    ssl_certificate     /path/to/certificate.crt;
    ssl_certificate_key /path/to/private/key.pem;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

    # do the proper handling of the request
}

Имейте в виду, что оба yourdomain.com и www.yourdomain.com должны быть в вашем SSL-сертификате. Это возможно с подстановочным сертификатом или с альтернативным именем сервера, как описано здесь . Проверьте https://www.startssl.com для хороших и бесплатных сертификатов, которые делают это. ( Edith : начиная с Chrome версии 56, сертификаты StartSL больше не будут доверять. Попробуйте вместо этого https://letsencrypt.org/ .)

— e18r
источник

Это на самом деле работает, но я подумал, что это можно сделать более понятным способом без большого количества дублирующих строк конфигурации.

— zloynemec

@zloynemec Вы можете поместить содержимое SSL в отдельный файл .conf и использовать includeправило для добавления его в оба блока сервера SSL.

— Igettäjä

Также, если вы используете cloudflare, вам нужно заплатить сертификат в 10 долларов за месяц, чтобы иметь возможность перенаправить и проксировать 2 субдомена (www + что-то). Дайте мне знать, если есть обходной путь.

— Фридо

7

Проведя так много времени с сотнями подобных случаев, я пришел к следующему фрагменту. Он короткий и легко подстраивается под что угодно.

server {
    listen 80;
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /path/to/my/certs/example.com/fullchain.pem;
    ssl_certificate_key /path/to/my/certs/example.com/privkey.pem;

    # Redirect to the correct place, if needed
    set $https_redirect 0;
    if ($server_port = 80) { set $https_redirect 1; }
    if ($host ~ '^www\.') { set $https_redirect 1; }
    if ($https_redirect = 1) {
        return 301 https://example.com$request_uri;
    }

    location / {
    # ...
}

Ох, но ifэто зло !

Да, это может быть. Но оно существует по определенной причине и не должно причинять вреда тем, кто знает, как правильно его использовать. ;)

— emyller
источник

Мне это нравится, но есть ли у вас какие-либо данные о падении производительности? Спасибо!

— Фридо

1

Честно говоря, я никогда не проверял это, но я полагаю, что вряд ли будет какое-то влияние по сравнению с отдельными правилами, поскольку эффект почти одинаков.

— Эмиллер

тест на перенаправление? это не совсем уместно, нет? (истинный вопрос, а не тролль ^^)

— Матрица

3

Я предпочитаю вернуться с кодом ответа, чтобы браузер знал, что вы перенаправляете его на другой URL.

server {
    listen   80;
    server_name  www.example.com;

    return 301 https://example.com$request_uri;
}

затем другой блок настроек сервера для https

server {
        listen   443 ssl;
        server_name  example.com;
        ...
    }

— montss
источник

0

как насчет создания блока сервера для этой цели:

server{
    listen 80;
    server_name www.example.net example.net;
    rewrite ^(.*) https://example.net$1 permanent;
}

затем перезапустить nginx

— anthonysomerset
источник

Я получаю сообщение об ошибке «конфликтующее имя сервера» при перезапуске. Кроме того , эта команда не будет слушать порт 443 для SSL и мне нужно беспокоиться о перенаправлении https://www.example.comк https://example.comа.

— Девин

0

Я думаю, что это должно работать.

В вашем простом определении HTTP-сервера предлагается что-то вроде anthonysomerset, а именно:

rewrite ^(.*) https://example.net$1 permanent;

Затем на вашем определении сервера SSL:

if ($host ~ /^www\./) {
  rewrite ^(.*) https://example.net$1 permanent;
}

Таким образом, перенаправление должно происходить только один раз для каждого запроса, независимо от того, на какой URL-адрес изначально переходит пользователь.

— Эдуардо Иванец
источник

Это сработало, спасибо. Я должен был изменить ваше условие, if ($host = 'www.example.com') {так как ваше регулярное выражение не работает для меня, хотя. Понятия не имею почему, как это выглядит правильно.

— Девин

Обратите внимание, что если это зло, и, как правило, лучше использовать декларативный способ.

— Блейз

0

Вот полный пример, который помог мне. Проблема заключалась в том, что у меня не было сведений о ssl ( ssl_certificateи т. Д.) В блоке перенаправления www. Не забудьте проверить свои журналы ( sudo tail -f /var/log/nginx/error.log)!

# HTTP — redirect all traffic to HTTPS
server {
    listen 80;
    listen [::]:80 default_server ipv6only=on;
    return 301 https://$host$request_uri;
}

# HTTPS — redirects www to non-www
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name www.example.com;

    # Use the Let's Encrypt certificates
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # Include the SSL configuration from cipherli.st
    include snippets/ssl-params.conf;
    return 301 https://example.com$request_uri;
}

# HTTPS — proxy all requests to the app (port 3001)
server {
    # Enable HTTP/2
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com sub.example.com;

    # Use the Let's Encrypt certificates
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # Include the SSL configuration from cipherli.st
    include snippets/ssl-params.conf;

    # For LetsEncrypt:
    location ~ /.well-known {
        root /var/www/html;
        allow all;
    }

    location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-NginX-Proxy true;
        proxy_pass http://localhost:3001;
        proxy_ssl_session_reuse off;
        proxy_set_header Host $http_host;
        proxy_cache_bypass $http_upgrade;
        proxy_redirect off;
    }
}