我当前使用的Nginx下站点SSL证书配置分享

投稿   明月登楼  2017-11-20 07:40:41  142 人阅读  30 条评论

投放广告联系   诚邀合作伙伴   赞助我们   垃圾评论惩罚

HTTPS 是以安全为目标的 HTTP 通道,即 HTTP 下加入 SSL 加密层。HTTPS 不同于 HTTP 的端口,HTTP 默认端口为80,而 HTTPS 默认端口为 443。

我当前使用的Nginx下站点SSL证书配置分享 建站经验 第1张

SSL 证书是一种数字证书,它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道,从而实现:

  1. 数据信息在客户端和服务器之间的加密传输,保证双方传递信息的安全性,不可被第三方窃听;
  2. 用户可以通过服务器证书验证他所访问的网站是否真实可靠。

为了方便大家快速自己部署 SSL,明月分享出来自己一直在用的 Nginx 下 SSL 站点配置里有关 SSL 部分的配置节选,以供大家参考。 

  1. Server{
  2. #指定SSL证书地址
  3. ssl_certificate /home/wwwroot/www.mydomain.com/www.mydomain.com.cer;
  4. ssl_certificate_key /home/wwwroot/www.mydomain.com/www.mydomain.com.key;
  5. #隐藏nginx版本号
  6. server_tokens   off;
  7. proxy_hide_header        X-Powered-By;
  8. #HSTS支持
  9. add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
  10. add_header X-Content-Type-Options nosniff;
  11. #SSL证书加密协议
  12. ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:DES-CBC3-SHA;";
  13. ssl_prefer_server_ciphers on;
  14. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  15. ssl_session_timeout 1d;
  16. ssl_session_cache shared:SSL:10m;
  17. ssl_buffer_size 1400;
  18. ssl_stapling on;
  19. ssl_stapling_verify on;
  20. }

目前看,HTTPS 的性能还需要 TLS 1.3 的加持,希望今年可以用上TLS 1.3 哦!

拓展阅读

如果文章对你有帮助,请赞赏支持作者继续创作!

历史上的今天:

文章标签: ,   ,   ,  
原文地址:https://lnmp.ymanz.com/lnmp/123.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为投稿文章,感谢 明月登楼 的投稿,版权归原作者所有,欢迎分享本文,转载请保留出处!

 发表评论


  1. 历史趣谈
    历史趣谈 【举人】 @回复

    宝塔Linux面板可以一键SSL

  2. 我爱动感单车网
    我爱动感单车网 【尚书】 @回复

    等过些时候也打算为自己的博客弄弄这个https,希望到时一切顺利!

  3. 值品分享
    值品分享 【小白】 @回复

    ssl_ciphers加密有很多呀,现在用的是nginx默认的。

  4. 历史趣谈LishiQtan
    历史趣谈LishiQtan 【举人】 @回复

    TLS 1.3 现在还没有免费的

  5. 唯心寒辞
    唯心寒辞 【书童】 @回复

    挺不错的

  6. 365生活网
    365生活网 【秀才】 @回复

    看着就想也弄一个

  7. 小白seo博客
    小白seo博客 【秀才】 @回复

    已经配置

  8. QQ游客
    QQ游客 【书童】 @回复

    自己用的衡天虚拟主机不知能不能配置?

  9. 小萝博客
    小萝博客 【状元】 @回复

    还是觉得我这种加载的方法好

  10. 钟水洲博客
    钟水洲博客 【举人】 @回复

    会养成习惯的 [嘻嘻] [嘻嘻] [嘻嘻]

  11. 灵异世界网
    灵异世界网 【进士】 @回复

    这两天刚配置好,但还有一些问题在修复。要弄ssl建站之初弄,数据多了太麻烦了。

  12. 星岩博客
    星岩博客 【秀才】 @回复

    https还是很有必要,没使用https之前一网站老镜像我的博客,排名还比我好,使用https,并开启了cdn加速之后,镜像网站突然消失了。

  13. 钟水洲博客
    钟水洲博客 【举人】 @回复

    没去搞这个

  14. ╄→秀じòぴ
    ╄→秀じòぴ 【书童】 @回复

    学习了。

  15. 沈唁志
    沈唁志 【举人】 @回复

    宝塔的还不能升级h2

  16. 99八十一
    99八十一 【进士】 @回复

    ssl配置还是麻烦,搞简单点多好。

  17. 8S分享网
    8S分享网 【举人】 @回复

    来学习了

  18. 重蔚自留地
    重蔚自留地 【秀才】 @回复

    我配置了,只是想把图片再缓存七牛的时候没法缓存了,有没有这类的解决方法。

    • 明月登楼
      明月登楼 作者回复2017-11-20 09:35  回复

      @重蔚自留地图片再缓存到七牛是完全可以的,就是你七牛绑定的域名必须也是HTTPS的才可以!要不小绿锁就失效了!

      • 重蔚自留地
        重蔚自留地 【秀才】2017-11-20 09:38  回复

        @明月登楼七牛怎么配置https域名呢?好像配置七牛https是要收费的是吗?

        • 明月登楼
          明月登楼 作者回复2017-11-20 09:41  回复

          @重蔚自留地这个跟配置HTTP大同小异的,就是七牛HTTPS流量是收费的!你确定你愿意付费?
          我的博客里就七牛绑定域名使用Let’s Encrypt证书的教程,你可以参考!

  19. 靠谱学生兼职网
    靠谱学生兼职网 【尚书】 @回复

    测试过,ZB的,HTTPS很容易,主域名绿标,但是,发现,内文链接在谷歌浏览器地址里,还是不安全因素

  20. 米扑科技
    米扑科技 【举人】 @回复

    很赞,在介绍下如何申请SSL证书就更好了

  21. 里维斯社
    里维斯社 【进士】 @回复

    一直是只有看你们大佬玩的份 [思考]

  22. 笛声
    笛声 【举人】 @回复

    我的配置好后,ssllabs测试只有A-,提示“The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-”