ssl_certificate_key/path/to/example.com.key;# 私钥文件路径 # 如果有中间证书,也需要配置 ssl_trusted_certificate/path/to/intermediate.crt;# 其他SSL配置参数 ssl_protocols TLSv1.2TLSv1.3;# 支持的协议版本 ssl_ciphersHIGH:!aNULL:!MD5;# 加密套件 ssl_prefer_server_ciphers on;# 优先使用服务器端的...
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 其他配置略 } 1. 2. 3. 4. 5. 6. 7. 这里存在一个问题: 当存在多个server块的时候,即使两个(如上)ssl_protocols 的配置不同,但是浏览器访问(携带SNI信息)的时候,仍然可以使用 TLSv1 TLSv1.1 协议,即使没有配...
listen 443; server_name localhost; ssl on; ssl_certificate sslkey/wosign.com.crt; #(证书公钥) ssl_certificate_key sslkey/wosign.com.key; #(证书私钥) ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:...
1. 在实际测试中发现,在低版本的nginx(1.17版本或者小于1.17版本)虽然两个配置都在server 块内,ssl_protocols 却属于全局配置(http配置),而 ssl_ciphers 却针对特定的虚拟主机(server配置)起作用, 如果server内配置了 ssl_protocols,那么nginx还是会用 全局配置 的覆盖server块的 配置,并且在全局配置和server都配置...
ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; location ~/api/(.*) { proxy_redirect off; proxy_set_header Host $host; ...
ssl_trusted_certificate/path/to/intermediate.crt;# 其他SSL配置参数 ssl_protocols TLSv1.2TLSv1.3;# 支持的协议版本 ssl_ciphersHIGH:!aNULL:!MD5;# 加密套件 ssl_prefer_server_ciphers on;# 优先使用服务器端的加密套件 # 其他server配置...}...} ...
key; ssl_session_timeout 20m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_verify_client off; location / { root html; index index.html index.htm; #允许cros跨域...
ssl_ciphers设置了支持的加解密算法套件,ssl_protocols表示证书支持的版本,ssl_prefer_server_ciphers表示...
proxy_ssl_verify指令用于控制是否验证后端服务器的SSL证书,你可以根据实际需求选择启用或禁用。 三、安全优化 在配置Nginx HTTPS代理时,我们还需要注意一些安全优化措施。以下是一些建议: 使用强密码套件:在SSL证书配置中,指定强密码套件可以提高通信安全性。你可以通过ssl_protocols和ssl_ciphers指令来设置密码套件和协议...
ssl_session_tickets off; # ssl session ticket 机制, 部分版本有bug, 视情况开启. ssl_protocols TLSv1.2; # ssl 协议版本 ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA...