这样安装后openssl会被安装到/usr/local/ssl/目录下,如无特殊必要,就不要想方设法覆盖系统本身的openssl,否则可能会造成openssh连不上,那就麻烦大了。 nginx的编译参数也要相应修改: ./configure --prefix=/home/nginx --with-md5=/usr/lib --with-sha1=/usr/lib --with-cc-opt="-I /usr/include/pcre...
1. 在实际测试中发现,在低版本的nginx(1.17版本或者小于1.17版本)虽然两个配置都在server 块内,ssl_protocols 却属于全局配置(http配置),而 ssl_ciphers 却针对特定的虚拟主机(server配置)起作用, 如果server内配置了 ssl_protocols,那么nginx还是会用 全局配置 的覆盖server块的 配置,并且在全局配置和server都配置...
#手动启用cipher列表 ssl_prefer_server_cipherson;#preferalistofcipherstopreventoldandslowciphers ssl_ciphers'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; 启用OCSP Stapling 在国内这可能是对使用 Let's Encrypt 证书的服务或网站影响最大的延迟优化了。如果不启用 OCSP Stapling 的话,在用户连接你...
按照nginx官方文档所说,要支持https,只需要配置listen、ssl_certificate、ssl_certificate_key三项,ssl_certificate是公钥,通常称为公钥证书,客户端请求建立连接时服务端会将公钥发送给客户端,ssl_certificate_key是私钥,需要保密,私钥存在服务器端,建立连接时,不会发送到客户端;ssl_protocols、ssl_ciphers可以不指定,使用...
ssl_ciphers'EECDH+AESGCMAES256+EECDH:AES256+EDH'; 启用OCSP Stapling 在国内这可能是对使用 Let's Encrypt 证书的服务或网站影响最大的延迟优化了。如果不启用 OCSP Stapling 的话,在用户连接你的服务器的时候,有时候需要去验证证书。而因为一些不可知的原因(这个就不说穿了)Let's Encrypt 的验证服务器并...
ssl_prefer_server_ciphers on 但是需要先给OpenSSL打个patch,网址如下: https://github.com/cloudflare/sslconfig/blob/master/patches/openssl__1.1.0_chacha20_poly1305.patch,详情如下 如果不想打patch,请用以下配置: ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ...
ssl_ciphers:指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法 添加黑白名单 白名单配置 location /admin/ { allow 192.168.1.0/24; deny all; } 上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有 也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如 ...
ssl_buffer_size 4k; 7. 调整 Cipher 优先级 更新更快的 Cipher放前面,这样延迟更小。 代码语言:javascript 复制 # 手动启用 cipher 列表 ssl_prefer_server_ciphers on;# prefer a listofciphers to prevent old and slow ciphers ssl_ciphers'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';...
ssl_certificate certificate/xxx.pem; # 配置自己下载的服务器私钥 ssl_certificate_key certificate/xxx.key; # 停止通信时,加密会话的有效期,在该时间段内不需要重新交换密钥 ssl_session_timeout 5m; # TLS握手时,服务器采用的密码套件 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL...
ssl_certificate certificate/xxx.pem; # 配置自己下载的服务器私钥 ssl_certificate_key certificate/xxx.key; # 停止通信时,加密会话的有效期,在该时间段内不需要重新交换密钥 ssl_session_timeout 5m; # TLS握手时,服务器采用的密码套件 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL...