最近更新于 2022-09-27 08:20

网站 SSL/TLS 估评: https://myssl.com/
免费 SSL 证书申请:https://freessl.cn/
file
file
file
file
file

我使用的服务器操作系统是 Ubuntu 20.04,网站服务器软件使用的 nginx。
关于 nginx 监听端口,https 相关的配置都在 /etc/nginx/sites-available/default 进行(以 root 权限编辑)
如:

# 监听 iyatt.com 的 80 端口,即 http://iyatt.com
server {
        listen 80;
        server_name iyatt.com;

        root /var/www/html;  # http://iyatt.com 的访问目录

        index index.html index.htm index.nginx-debian.html;

        location / {
                return 301 https://iyatt.com$request_uri; # http 重定向到 https(301 永久跳转)
        }
}

# 监听 iyatt.com 的 443 端口,即 https://iyatt.com
server {
        listen 443 ssl http2;
        server_name iyatt.com;

        # SSL 证书文件路径
        ssl_certificate /etc/nginx/cert/full_chain.pem;
        ssl_certificate_key /etc/nginx/cert/private.key;

        ssl_session_timeout 1d; # 客户端可以重用 session 参数的时间(超时后不可用)
        ssl_session_cache shared:MozSSL:10m; # SSL session 缓存,每消耗 1M 内存可以缓存 4000 个,这里 10M 可以缓存 40000 个
        ssl_session_tickets off;

        # 加密套件
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;
        ssl_prefer_server_ciphers on;

        # HTSL
        add_header Strict-Transport-Security "max-age=63072000";

        # 禁止本站放入 iFrame 内
        add_header X-Frame-Options "DENY";

        root /var/www/html;
 }

上面的仅作参考,其中部分内容是通过 https://ssl-config.mozilla.org/ 生成的,如果使用的其它服务器软件,或者不同版本,需要不同的兼容性,可以自己前往生成。
使用最新的加密方式,安全性会更高,但是对于旧版系统、浏览器的支持性就会变低(兼容性变差),结合自己的需要进行配置即可。

作者 IYATT-yx