打造最強NGINX HTTPS

時間 2019-12-13

標籤打造最強 nginx https 欄目 Nginx 简体版

原文原文鏈接

完整配置以下html

server {
        listen       443 ssl;
        server_name xxx.xxxke.com;
        ssl on;
        ssl_certificate      /xxx/pemcrt/vcert.pem;
        ssl_certificate_key  /xxx/pemcrt/vcert.key;
        ssl_dhparam /xxx/pemcrt/dhparam.pem;
        ssl_session_cache    shared:SSL:10m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
        ssl_prefer_server_ciphers on;
        ssl_session_timeout 10m;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /pemcrt/ca-bundles.pem;
        resolver 8.8.8.8 8.8.4.4  valid=300s;
        resolver_timeout 10s;
        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
   location / {
        root   /app/nginx/www;
        index  index.html index.php;
        }
}

listen 監聽 443 端口，加上ssl參數；

server_name 當一個主機多個域名時很重要，能夠作域名虛擬主機；

SSL 開啓ssl

ssl_certificate 證書

ssl_certificate_key 密鑰

sl_dhparam

執行 openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048 生成dhparam.pem 後加入改行配置

ssl_session_cache重用加密的會話，經過每一個鏈接給出的惟一標識，服務器知道一個進來的鏈接是否已經在以前建立過，若是服務器在會話中也已經有會話key，它就能重用。Session ID須要服務器保存會話狀態如會話key等，這樣下次鏈接才能複用，這就須要服務器保存不少狀態信息，耗費了大量內存Session ID共享複用在nginx能夠經過ssl_session_cache設置。

ssl_protocols 開啓TLS 版本，注意不要開啓 SSL2 SSL3

ssl_ciphersNginx SSL算法，必定要禁用nginx默認的DH算法（譯註：Diffie-Hellman key exchange algorithm）是影響SSL性能的最大因素。

ssl_prefer_server_ciphers 和上述配合。

開啓 ocsp

ssl_stapling on ssl_stapling_verify ssl_trusted_certificate

OCSP（Online Certificate Status Protocol）的中文翻譯是在線證書狀態協議，它是用來檢查證書是否有效的。雖然證書通常是有效的，但也可能被撤銷，這時就須要實時查詢證書的狀態，以確保它有效。這個查詢若是讓瀏覽器去作，就比較浪費時間，而 OCSP stapling 技術則是讓服務器本身查出來，再把狀態信息（沒法僞造）返回給瀏覽器，以加快驗證過程。有三層證書，分別是：

StartCom Certification Authority

StartCom Class 1 DV Server CA

keakon.net

其中，第三個證書已經提供給 nginx 了，而前兩個還須要本身下載回來，合併成一個：

cat ca.crt sca.server1.crt > ca-bundles.pem 或者直接notpad++ 操做