nginx安装https加密套件
https 默认采⽤ SHA-1 算法,⾮常脆弱。我们可以使⽤迪菲-赫尔曼密钥交换。
我们在 /conf/ssl ⽬录下⽣成 dhparam.pem ⽂件
openssl dhparam -out dhparam.pem 2048
下⾯的指令 ssl_protocols 和 ssl_ciphers 是⽤来限制连接只包含 SSL/TLS 的加強版本和算法。
# 优先采取服务器算法
ssl_prefer_server_ciphers on;
# 使⽤ DH ⽂件
ssl_dhparam ssl/dhparam.pem;
# 协议版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 定义算法
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;复制代码
安全的响应头# 启⽤ HSTS 。允许 https ⽹站要求浏览器总是通过 https 来访问
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 减少点击劫持
add_header X-Frame-Options DENY;
# 禁⽌服务器⾃动解析资源类型
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
复制代码
服务器优化# 配置共享会话缓存⼤⼩
ssl_session_cache shared:SSL:10m;
# 配置会话超时时间
ssl_session_timeout 10m;
复制代码
http2 配置
http2 配置很简单,只要后⾯增加 http2。
下⾯ [::]: 表⽰ ipv6 的配置,不需要可以不加那⼀⾏listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
重启 nginx 后,你可以在这个⽹站上 tools.keycdn/http2-test 测试http2有没有配置成功。
配置⽂件优化
为了让更多的⼆级域名⽀持上⾯的功能,每个 server 都这么写太过于繁琐。
可以将 listen 443 、ssl、add_header 相关的单独写在⼀个⽂件上,然后使⽤ inculde 指令。
如下:其他的配置都放在了conf.f中
server {
listen 8099;
nginx 配置文件listen [::]:8099;
server_name ⽹站地址;
include conf.f;
location / {
root /var/www/test;
index index.html;
}
}
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论