ssl_certificate是公钥,通常称为公钥证书,客户端请求建立连接时服务端会将公钥发送给客户端,ssl_certificate_key是私钥,需要保密,私钥存在服务器端,建立连接时,不会发送到客户端;ssl_protocols、ssl_ciphers可以不指定,使用默认值即可。
指令 ssl_protocols 和 ssl_ciphers 可用于将连接限制为仅包括 SSL/TLS 的强版本和密码。默认情况下,nginx 使用“ ssl_protocols TLSv1 TLSv1.1 TLSv1.2”和“ ssl_ciphers HIGH:!aNULL:!MD5”,因此通常不需要显式配置它们。请注意,这些指令的默认值被更改了几次。 ♦HTTPS 服务器优化 ✍SSL 操作会消耗...
server_name wiki.test.site; ssl_certificate ../ssl.conf/***.crt; ssl_certificate_key ../ssl.conf/***.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #协议 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置 ssl_prefer_server...
启用OCSP Stapling:通过在线证书状态协议(OCSP)检查证书的有效性,提高证书验证的效率。 使用更强大的加密算法和协议:根据安全性的要求,可以调整ssl_ciphers和ssl_protocols等参数,使用更强大的加密算法和协议版本。 定期更新和更换证书:商业证书通常有有效期限制,需要定期更新。同时,为了增强安全性,也可以定期更换证书。
listen 指令指示 NGINX 侦听 443 端口,监测使用 server_name 指令所指定的域(此处为 http://www.example.com)的 HTTPS 流量(ssl 参数)。 ssl_certificate 和 ssl_certificate_key 指令指定了存储该域的 TLS 证书和密钥的文件。ssl_protocols 和ssl_ciphers 指令分别指定了此 NGINX 虚拟服务器支持的 SSL/TLS 版...
ssl_certificate,ssl_certificate_key两项配置则是对应的两个证书文件的路径配置。ssl_ciphers设置了支持的加解密算法套件,ssl_protocols表示证书支持的版本,ssl_prefer_server_ciphers表示是否由服务端控制哪些加解密算法套件可用(on, 可以避免低版本的弱密码的安全问题)。
在低版本的nginx(1.17版本或者小于1.17版本)虽然两个配置都在server 块内,ssl_protocols 却属于全局配置(http配置),而 ssl_ciphers 却针对特定的虚拟主机(server配置)起作用, 如果server内配置了 ssl_protocols,那么nginx还是会用 全局配置 的覆盖server块的 配置,并且在全局配置和server都配置了ssl_protocols,语法不...
ssl_certificate_key server.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; ...
ssl_ciphers 加密算法;ssl_protocols 加密协议;ssl_prefer_server_ciphers on;} 但是这样的配置如果放在Nginx1.15 版本则是错误的,启动Nginx的时候系统会报错,原因是 SSL ON 这样的配置不再支持,需要删除掉。但是当你删除掉那一句代码后,重新启动 Nginx 就会发现浏览器访问页面时就会出现”...
ssl_protocols TLSv1.2TLSv1.3;# 配置SSL密码套件 ssl_ciphers'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';# 配置SSL会话缓存 ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;# 代理到后端服务器的地址和端口 proxy_pass your_backend_server:your_backend_port;}} ...