SSL/HTTPS優化之NGINX配置
阿新 • • 發佈:2018-12-31
配置完成後,先用bin/nginx –t來測試下配置是否有誤,正確無誤的話,重啟nginx。就可以使 https://www.domain.com 來訪問了。
server { listen 80; listen 443 ssl spdy; #不相容80的時候,就不用這個ssl和spdy指定了 server_name www.domain.com; #填寫繫結證書的域名 ssl on; ssl_certificate lvtao.net.crt; #公鑰 ssl_certificate_key lvtao.net.key;#私鑰 ssl_session_cache shared:SSL:20m; #快取池 快取大小設定為 20M,大概能放下 80000 個會話 ssl_session_timeout 10m; #快取時間 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #只啟用 TLS 系列協議 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!kEDH;#按照這個套件配置 #完整參考 ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:HIGH:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH; ssl_prefer_server_ciphers on; #可選 以下三行 啟用 OCSP 可以讓瀏覽器更快的獲取證書撤銷狀態 ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/startssl_trust_chain.crt; #啟用 HSTS 用於通知瀏覽器強制使用 https 通訊 add_header Strict-Transport-Security "max-age=31536000"; resolver 8.8.8.8 8.8.4.4; location / { root html; #站點目錄 index index.html index.htm; } }