- 简单的https配置
前提:获取签名证书 https自制签名证书
注意:签名证书是公开对象,它被发送给连接到服务器的每个客户端。私钥是不公开对象,应该存储在有严格访问限制的文件(nginx的主进程可读)中。 私钥可以存储在与证书相同的文件中(只有证书需要被发送到客户端)
server {
#开启ssl监听
listen 443 ssl;
server_name www.example.com;
#证书绝对路径
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
#ssl支持协议版本,加密算法(均为默认缺省配置)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
...
}
- https配置优化
消耗:ssl配置会消耗额外的cpu资源,在nginx每个独立运行的work process进程中,cpu占用最多的操作是ssl握手
方式一:配置keepalive参数,允许tcp长连接,并在同一个tcp连接上发送多个请求
方式二:复用ssl会话参数,避免ssl频繁握手。会话存储在ssl会话高速缓存中,wo