最近更新于 2024-05-05 14:18
网站 SSL/TLS 估评: https://myssl.com/
免费 SSL 证书申请:https://freessl.cn/
我使用的服务器操作系统是 Ubuntu 20.04,网站服务器软件使用的 nginx。
关于 nginx 监听端口,https 相关的配置都在 /etc/nginx/sites-available/default 进行(以 root 权限编辑)
如:
# 监听 iyatt.com 的 80 端口,即 http://iyatt.com
server {
listen 80;
server_name iyatt.com;
root /var/www/html; # http://iyatt.com 的访问目录
index index.html index.htm index.nginx-debian.html;
location / {
return 301 https://iyatt.com$request_uri; # http 重定向到 https(301 永久跳转)
}
}
# 监听 iyatt.com 的 443 端口,即 https://iyatt.com
server {
listen 443 ssl http2;
server_name iyatt.com;
# SSL 证书文件路径
ssl_certificate /etc/nginx/cert/full_chain.pem;
ssl_certificate_key /etc/nginx/cert/private.key;
ssl_session_timeout 1d; # 客户端可以重用 session 参数的时间(超时后不可用)
ssl_session_cache shared:MozSSL:10m; # SSL session 缓存,每消耗 1M 内存可以缓存 4000 个,这里 10M 可以缓存 40000 个
ssl_session_tickets off;
# 加密套件
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;
ssl_prefer_server_ciphers on;
# HTSL
add_header Strict-Transport-Security "max-age=63072000";
# 禁止本站放入 iFrame 内
add_header X-Frame-Options "DENY";
root /var/www/html;
}
上面的仅作参考,其中部分内容是通过 https://ssl-config.mozilla.org/ 生成的,如果使用的其它服务器软件,或者不同版本,需要不同的兼容性,可以自己前往生成。
使用最新的加密方式,安全性会更高,但是对于旧版系统、浏览器的支持性就会变低(兼容性变差),结合自己的需要进行配置即可。
网站配置 https