Nginx的SSL配置优化是怎样的
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,Nginx的SSL配置优化是怎样的,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。Nginx的SSL配置优化一般网站使用的SSL证书都是R
千家信息网最后更新 2024年09月22日Nginx的SSL配置优化是怎样的
Nginx的SSL配置优化是怎样的,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
Nginx的SSL配置优化
一般网站使用的SSL证书都是RSA证书,这种证书基本都是2048位的密钥,但是证书密钥交换密钥必须要比证书密钥更长才能安全,而默认的只有1024位,所以我们需要手动生成一个更强的密钥。所以配置之前,如果没有DH-key就需要做下面的步骤
有screen则跳过,没则安装
yum -y install screen11
生成4096位的DH-Key(证书密钥交换密钥)
screen -S DHopenssl dhparam -out dhparam.pem 40961212
执行之后需要等很长时间,总之慢慢等,网路出现中断,可以执行下面命令重新连接安装窗口
screen -r DH11
熬过漫长的等待时间后,建议生成的dhparam.pem文件最好跟SSL证书放在一起方便管理。
有了证书密钥交换密钥后,我们继续配置,打开网站所对应的Nginx的conf配置文件
假设我的配置文件是在 /usr/local/nginx/conf/vhost 的目录
vim /usr/local/nginx/conf/vhost/www.linpx.com.conf11
配置如下,只包含了ssl的部分,未包含其他比较重要的配置,如缓存、跳转、防盗链和强制HTTPS等等
server {listen 443 ssl http2;add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";add_header X-Frame-Options DENY;add_header X-Content-Type-Options nosniff;ssl_certificate /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.crt;ssl_certificate_key /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.key;ssl_trusted_certificate /usr/local/nginx/conf/vhost/sslkey/chaine.pem;ssl_dhparam /usr/local/nginx/conf/vhost/sslkey/dhparam.pem;ssl_session_timeout 10m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;ssl_prefer_server_ciphers on;ssl_session_cache builtin:1000 shared:SSL:10m;ssl_session_tickets on;ssl_stapling on; ssl_stapling_verify on;resolver 8.8.8.8 8.8.4.4 valid=300s;resolver_timeout 5s;···}12345678910111213141516171819202122232425262728293031321234567891011121314151617181920212223242526272829303132
各行解析:
server {listen 443 ssl http2;#使用HTTP/2,需要Nginx1.9.7以上版本add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";#开启HSTS,并设置有效期为"6307200秒"(6个月),包括子域名(根据情况可删掉),预加载到浏览器缓存(根据情况可删掉)add_header X-Frame-Options DENY;#禁止被嵌入框架add_header X-Content-Type-Options nosniff;#防止在IE9、Chrome和Safari中的MIME类型混淆攻击ssl_certificate /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.crt;ssl_certificate_key /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.key;#SSL证书文件位置ssl_trusted_certificate /usr/local/nginx/conf/vhost/sslkey/chaine.pem;#OCSP Stapling的证书位置ssl_dhparam /usr/local/nginx/conf/vhost/sslkey/dhparam.pem;#DH-Key交换密钥文件位置#SSL优化配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2;#只允许TLS协议ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;#加密套件,这里用了CloudFlare's Internet facing SSL cipher configurationssl_prefer_server_ciphers on;#由服务器协商最佳的加密算法ssl_session_cache builtin:1000 shared:SSL:10m;#Session Cache,将Session缓存到服务器,这可能会占用更多的服务器资源ssl_session_tickets on;#开启浏览器的Session Ticket缓存ssl_session_timeout 10m; #SSL session过期时间ssl_stapling on; #OCSP Stapling开启,OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高TLS握手速度ssl_stapling_verify on;#OCSP Stapling验证开启resolver 8.8.8.8 8.8.4.4 valid=300s;#用于查询OCSP服务器的DNSresolver_timeout 5s;#查询域名超时时间···}12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758591234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859
配置完后请记得重启Nginx!
CentOS 6.x:
service nginx restart11
CentOS 7.x:
systemctl restart nginx
看完上述内容,你们掌握Nginx的SSL配置优化是怎样的的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!
证书
配置
密钥
服务
文件
服务器
缓存
位置
情况
时间
更多
查询
生成
有效
内容
方法
浏览器
网站
问题
加密
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
刷新服务器管理器时失败
东丽区 《网络安全法》
高级数据库测试方法
天津理工数据库
游戏连接服务器异常是什么情况
登录游戏说服务器暂未开放
中华人民共和国国家数据库
计算机学网络技术专业
jboss 数据库配置
软件开发公司成本是什么
非标准协议网络安全
ps5 战地一ea服务器连不上
新兴网络技术国际会议
西安安卓软件开发人才招聘
全华网络技术河北有限公司
软件开发模块实现思路
税务局网络安全和数据保密
网络安全实例分析与研究
凯乐科技网络安全概念
网站服务器怎么打开
丹东市网络安全指挥中心在哪
高级数据库技术阶段的特征
云服务器过检
怎么让jsp连接到数据库
杭州东润互联网科技有限公司
网络技术的应用主要有哪些
惠州软件开发商家
驾校宝典类似的软件开发教程
2k22无法连接服务器ps4
中级数据库工程师哪里可以查