在Linux上使用OpenSSL配置HTTP严格传输安全（HSTS）涉及几个步骤。以下是一个基本的指南：

1. 安装OpenSSL

首先，确保你的系统上已经安装了OpenSSL。大多数Linux发行版默认已经安装了OpenSSL，但如果没有，可以使用包管理器进行安装。

sudo apt-get update
sudo apt-get install openssl

2. 生成自签名证书

为了测试HSTS，你可以生成一个自签名证书。请注意，自签名证书不会被浏览器信任，仅用于测试目的。

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

按照提示输入所需的信息，如国家、组织名称等。

3. 配置Web服务器

假设你使用的是Apache或Nginx作为Web服务器，下面是如何在这两种服务器上配置HSTS。

Apache

编辑Apache配置文件（通常是/etc/apache2/sites-available/your-site.conf），添加以下内容：

:443>
    ServerName yourdomain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /path/to/cert.pem
    SSLCertificateKeyFile /path/to/key.pem

    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

确保将/path/to/cert.pem和/path/to/key.pem替换为你的证书和密钥的实际路径。

然后启用站点并重启Apache：

sudo a2ensite your-site.conf
sudo systemctl restart apache2

Nginx

编辑Nginx配置文件（通常是/etc/nginx/sites-available/your-site），添加以下内容：

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

    root /var/www/html;
    index index.html index.htm;
}

确保将/path/to/cert.pem和/path/to/key.pem替换为你的证书和密钥的实际路径。

然后启用站点并重启Nginx：

sudo ln -s /etc/nginx/sites-available/your-site /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

4. 验证HSTS配置

你可以使用浏览器开发者工具或在线工具（如SSL Labs）来验证HSTS配置是否正确。

注意事项

• HSTS头信息是不可逆的，一旦设置，浏览器将强制使用HTTPS访问该域名，直到HSTS头信息的max-age过期。
• includeSubDomains选项将HSTS策略应用于所有子域名。
• preload选项允许你的域名被添加到浏览器的预加载列表中，这样浏览器在首次访问时就会强制使用HTTPS。

通过以上步骤，你应该能够在Linux上使用OpenSSL配置HSTS。