Nginx的SSL配置優(yōu)化是怎樣的

Nginx的SSL配置優(yōu)化是怎樣的，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供永善網(wǎng)站建設(shè)、永善做網(wǎng)站、永善網(wǎng)站設(shè)計、永善網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、永善企業(yè)網(wǎng)站模板建站服務(wù)，十載永善做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

Nginx的SSL配置優(yōu)化 

一般網(wǎng)站使用的SSL證書都是RSA證書，這種證書基本都是2048位的密鑰，但是證書密鑰交換密鑰必須要比證書密鑰更長才能安全，而默認(rèn)的只有1024位，所以我們需要手動生成一個更強的密鑰。所以配置之前，如果沒有DH-key就需要做下面的步驟

有screen則跳過，沒則安裝

yum -y install screen11

生成4096位的DH-Key（證書密鑰交換密鑰）

screen -S DH
openssl dhparam -out dhparam.pem 40961212

執(zhí)行之后需要等很長時間，總之慢慢等，網(wǎng)路出現(xiàn)中斷，可以執(zhí)行下面命令重新連接安裝窗口

screen -r DH11

熬過漫長的等待時間后，建議生成的dhparam.pem文件最好跟SSL證書放在一起方便管理。

有了證書密鑰交換密鑰后，我們繼續(xù)配置，打開網(wǎng)站所對應(yīng)的Nginx的conf配置文件

假設(shè)我的配置文件是在 /usr/local/nginx/conf/vhost 的目錄

vim /usr/local/nginx/conf/vhost/www.linpx.com.conf11

配置如下，只包含了ssl的部分，未包含其他比較重要的配置，如緩存、跳轉(zhuǎn)、防盜鏈和強制HTTPS等等

server {
listen 443 ssl http2;
add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_certificate /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.crt;
ssl_certificate_key /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.key;
ssl_trusted_certificate /usr/local/nginx/conf/vhost/sslkey/chaine.pem;
ssl_dhparam /usr/local/nginx/conf/vhost/sslkey/dhparam.pem;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_session_tickets on;
ssl_stapling on; 
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
···
}12345678910111213141516171819202122232425262728293031321234567891011121314151617181920212223242526272829303132

各行解析：

server {
listen 443 ssl http2;#使用HTTP/2，需要Nginx1.9.7以上版本add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";#開啟HSTS，并設(shè)置有效期為“6307200秒”（6個月），包括子域名(根據(jù)情況可刪掉)，預(yù)加載到瀏覽器緩存(根據(jù)情況可刪掉)add_header X-Frame-Options DENY;#禁止被嵌入框架add_header X-Content-Type-Options nosniff;#防止在IE9、Chrome和Safari中的MIME類型混淆攻擊ssl_certificate /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.crt;
ssl_certificate_key /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.key;#SSL證書文件位置ssl_trusted_certificate /usr/local/nginx/conf/vhost/sslkey/chaine.pem;#OCSP Stapling的證書位置ssl_dhparam /usr/local/nginx/conf/vhost/sslkey/dhparam.pem;#DH-Key交換密鑰文件位置#SSL優(yōu)化配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2;#只允許TLS協(xié)議ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;#加密套件,這里用了CloudFlare's Internet facing SSL cipher configurationssl_prefer_server_ciphers on;#由服務(wù)器協(xié)商最佳的加密算法ssl_session_cache builtin:1000 shared:SSL:10m;#Session Cache，將Session緩存到服務(wù)器，這可能會占用更多的服務(wù)器資源ssl_session_tickets on;#開啟瀏覽器的Session Ticket緩存ssl_session_timeout 10m; 
#SSL session過期時間ssl_stapling on; 
#OCSP Stapling開啟,OCSP是用于在線查詢證書吊銷情況的服務(wù)，使用OCSP Stapling能將證書有效狀態(tài)的信息緩存到服務(wù)器，提高TLS握手速度ssl_stapling_verify on;#OCSP Stapling驗證開啟resolver 8.8.8.8 8.8.4.4 valid=300s;#用于查詢OCSP服務(wù)器的DNSresolver_timeout 5s;#查詢域名超時時間···
}12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758591234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859

配置完后請記得重啟Nginx！

CentOS 6.x：

service nginx restart11

CentOS 7.x：

systemctl restart nginx

看完上述內(nèi)容，你們掌握Nginx的SSL配置優(yōu)化是怎樣的的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

分享題目：Nginx的SSL配置優(yōu)化是怎樣的
文章源于：http://muchs.cn/article34/ghjdpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、網(wǎng)站制作、做網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站收錄、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)