一、ssl證書下載

ssl證書下載，可通過阿里云或者騰訊云申請免費ssl證書(證書域名需要購買)

以上為騰訊云，申請成功后可在頁面下載ssl證書，類型選擇nginx的那種就行，適用大部分場景；

二、nginx配置

下載ssl證書后會得到四個文件

將文件上傳到和nginx同目錄下,或者自己指定位置即可

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_certificate path/to/you/youyuming.cn_bundle.pem;
ssl_certificate_key path/to/you/youyuming.cn.key;

另外 需要在監(jiān)聽的端口后加上ssl;

配置說明：

1. ssl_session_cache shared:SSL:1m;

作用：設(shè)置SSL會話緩存。這有助于加速重復(fù)連接，因為客戶端和服務(wù)器不需要為每個新連接重新協(xié)商整個SSL/TLS握手。

參數(shù)解釋：

• shared:SSL:：創(chuàng)建一個名為SSL的共享內(nèi)存區(qū)域，用于存儲會話信息。共享內(nèi)存區(qū)可以在多個worker進程之間共享，從而提高效率。
• 1m：分配給這個共享緩存的內(nèi)存量（1兆字節(jié)）。根據(jù)您的服務(wù)器流量和需要支持的同時連接數(shù)，可以調(diào)整這個值。

2. ssl_session_timeout 5m;

作用：定義SSL會話緩存的有效期。一旦超過了這個時間，如果客戶端再次嘗試建立連接，則需要重新進行完整的SSL/TLS握手。

參數(shù)解釋：

• 5m：表示5分鐘。可以根據(jù)需求調(diào)整此超時值以平衡性能與資源使用。

3. ssl_ciphers HIGH:!aNULL:!MD5;

作用：指定允許使用的加密套件（cipher suites），即決定客戶端和服務(wù)器之間的通信應(yīng)該使用哪些加密算法。

參數(shù)解釋：

• HIGH：選擇高強度的加密算法。
• !aNULL：禁止無身份驗證的加密套件，這意味著所有加密套件都必須包含某種形式的身份驗證。
• !MD5：排除使用MD5哈希算法的加密套件，因為MD5被認為不再安全。

4. ssl_prefer_server_ciphers on;

作用：啟用服務(wù)器端優(yōu)先級。當這個選項被激活時，Nginx將使用其配置文件中定義的加密套件順序，而不是依賴于客戶端提供的順序。

參數(shù)解釋：

• on：開啟服務(wù)器端優(yōu)先級。推薦啟用此選項以確保使用更安全的加密套件。

5. ssl_certificate /path/to/your/youyuming.cn_bundle.pem;

作用：指定服務(wù)器證書的位置。這是用來證明服務(wù)器身份的數(shù)字證書。

參數(shù)解釋：

• /path/to/your/youyuming.cn_bundle.pem：證書文件的路徑。應(yīng)替換為實際的證書文件路徑。

6. ssl_certificate_key /path/to/your/youyuming.cn.key;

作用：指定私鑰文件的位置。私鑰是與證書配對的，用于解密通過SSL/TLS加密的通信。

參數(shù)解釋：

• /path/to/your/youyuming.cn.key：私鑰文件的路徑。同樣地，應(yīng)替換為實際的私鑰文件路徑。

nginx配置完后可驗證下配置語法是否正確 nginx -t, 沒啥問題的話再次訪問網(wǎng)站就可看到一把小鎖.

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論