nginx篇07-启用HTTP2和TLSv1.3

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量2.3k 收藏 6
点赞数 1
分类专栏: Nginx 文章标签: nginx linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36885515/article/details/123138045
版权
本文详述如何通过编译安装openssl和nginx以支持HTTP2和TLSv1.3,包括指定openssl目录、配置修改及安全设置。在nginx配置中,启用http2和tls1.3,采用激进的安全策略,并通过myssl和ssllab进行测试,确保支持最新协议。
摘要由CSDN通过智能技术生成

本文主要介绍如何使用编译的方式升级openssl库和nginx用于支持HTTP2和TLSv1.3并且介绍了一些简单的提高nginx安全性的配置。

1、编译安装openssl

考虑到Linux系统中有许多组件都需要使用openssl库,而现在默认使用的openssl库绝大多数都没到达能够支持TLS1.3的openssl1.1.1版本以上,因此个人建议不要直接修改系统已有的默认openssl库而是另外使用一个新目录来编译安装新版本的openssl。

具体的支持信息可以查看openssl官网的TLSv1.3部分

解压下载的稳定版openssl1.1.1g进行编译安装,注意使用--prefix=指定安装目录

# 下载
wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz
# 解压
tar -zxvf openssl-1.1.1g.tar.gz
# 配置、编译
./config  --prefix=/home/openssl
make
# 检查是否出错
make test
# 安装
make install

安装完成后检查链接库是否正常,将缺少的文件直接软链接到系统的/usr/lib64目录下

ln -s /home/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /home/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

最后检查系统使用的openssl的版本是否为新版以及系统的库指向是否正确

2、编译安装nginx

2.1 nginx的TLS1.3和HTTP2

想要在nginx中开启TLS1.3的支持,只需要使用支持TLS1.3的openssl库来进行编译即可。

查看nginx的版本更新说明我们可以知道nginx从1.9.5版本开始支持HTTP2:

从1.13版本开始支持TLS1.3

2.2 指定openssl目录进行nginx编译安装

nginx的编译安装此前已经介绍过了,有需要的同学可以点击这里回顾。

wget http://nginx.org/download/nginx-1.18.0.tar.gz

这次我们使用的是截止2020年5月19号最新的稳定版本nginx1.18.0,一些注意的事项如下:

  • --with-http_v2_module--with-http_ssl_module用于支持HTTP2和ssl加密,
  • --with-openssl=用于指定openssl库的安装目录
  • --with-openssl-opt=enable-tls1_3用于开启openssl库的tls1.3支持,但是现在的新版本已经默认开启,无需额外添加这个参数

剩下的就和常规的编译安装无异,下面是此次编译的参数:

./configure --prefix=/home/nginx \
--sbin-path=/home/nginx/sbin/nginx \
--with-openssl-opt=enable-tls1_3 \
--with-openssl=/home/openssl \
--conf-path=/home/nginx/nginx.conf \
--error-log-path=/home/nginx/logs/error.log \
--http-log-path
最低0.47元/天 解锁文章
tinychen777
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CIAA 网络安全模型 — TLS v1.3 和 HTTPS 协议
烟云的计算
05-10 2339
举个例子:网站 https://www.example.com、https://www.something.com、https://www.another-website.com、https://www.example.io 被托管在相同的 Web 服务器中(相同的 IP 地址),若 SNI 扩展指定为 https://www.example.com,那么 Web 服务器就会返回 https://www.example.com 的 TLS 本地设备证书到客户端,继而建立正确的安全的连接。
基于 OpenSSL 源码为 nginx 配置并安装 http_ssl_module
tobrainto
09-23 1502
基于 openssl 源码为 nginx 配置并安装 http_ssl_module
liunx版nginx-1.12.0、openssl-1.1.0e、pcre-8.37、zlib-1.2.11
11-13
liunx版nginx-1.12.0、openssl-1.1.0e、pcre-8.37、zlib-1.2.11
nginx 配置https_NGINX 一文配置 HTTPS (TLS1.3)
weixin_39992665的博客
11-27 764
TLS1.3 是现在最新的 HTTPS 加密版本,网上很多教程为了兼容老版本,会写一大堆配置。本文给一个精简的开启且只开启 TLS1.3 的配置,适用于不用考虑兼容性的个人网站。user www-data; pcre_jit on; events { multi_accept on; } http { sendfile on; tcp_nopush on; incl...
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1588
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
nginx配置开启单个server下的TLS1.3
weixin_43652106的博客
08-18 1221
记录:nginx配置开启单个server下的TLS1.3功能,现有的nginx配置,开启TLS1.3是必须把服务器上面所有的server块里面的https下面都开启TLS1.3,才能生效。 解决办法: 针对这一现象,GitHub中找到ngx_http_ssl_client_hello_module模块可解决此问题,实现对单个server下的https开启TLS1.3功能。 一、下载安装ngx_http_ssl_client_hello_module模块 文档地址:https://github.com/zen
Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20
Ximerr的博客
06-05 1825
nginx启动报错: nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/nginx.conf:20 问题解决记录。
Linux升级openssl版本、安装nginx并配置https证书支持TLSv1.3
weixin_43020107的博客
03-24 1983
【代码】Linux升级openssl版本、安装nginx并配置https证书支持TLSv1.3。
spring cloud kubernetes集群开启https/http2
qq_43278717的博客
05-24 808
介绍 springcloud版本:2021.0.2 HTTP2是对HTTP1.1的升级,对HTTP1.1性能问题进行了优化,主要从以下两个方面来优化: 1、头部压缩 HTTP1.1主要是对Body进行压缩,而头部却没有压缩。HTTP2通过HPACK算法对头部进行压缩,减少了传输时间。 2、队头阻塞 HTTP1.1使用的是TCP协议,并且为了节省资源,采用了长连接,长连接引入了队头阻塞的问题。HTTP2引入了流和帧,解决了HTTP层面上的队头阻塞。 ...
nginx-1.16.1-TLS1.3-http2
01-05
`nginx-1.16.1-TLS1.3-http2` 是一个特别构建的 Nginx 版本,集成了最新的 TLS 1.3 安全协议和 HTTP/2 协议,旨在为用户提供更高效、更安全的 HTTPS 访问体验。 **Nginx:高性能Web服务器与反向代理** Nginx 是一...
如何让Nginx快速支持TLS1.3协议详解
09-30
如果返回结果中包含了`Protocol : TLSv1.3`,说明Nginx已经成功支持了TLS 1.3协议。 总结,要让Nginx支持TLS 1.3,你需要安装支持TLS 1.3的OpenSSL库,然后编译安装新版本的Nginx,并在Nginx配置文件中启用TLS 1.3...
ng18.sh:NG18 H3H-Nginx 1.18稳定,HTTP3(QUIC),HTTP2 HPACK,动态TLS记录,带有OCSP装订的BoringSSL
04-04
ng18.sh Nginx 1.18稳定,HTTP3(QUIC),HTTP2 HPACK,动态TLS记录,带有OCSP装订的BoringSSL
nginx-1.24.0
01-23
在此版本中,Nginx支持最新的TLS协议版本(如TLSv1.3),并且可以配置使用更安全的加密套件,以防止中间人攻击和保护用户隐私。 4. **反向代理** Nginx作为反向代理服务器,可以隐藏后端服务器的细节,平衡负载,...
Nginx配置同一个域名同时支持http与https两种方式访问实现
09-29
Nginx配置中,使同一个域名同时支持HTTP和HTTPS两种访问方式是非常常见的需求,这有助于提供更安全的网络服务,同时确保与不支持HTTPS的旧客户端兼容。以下是详细的配置步骤和注意事项: 首先,我们需要创建两个`...
关于Nginx配置SSL https转http,服务端获取的请求是http的解决方法
m0_38089795的博客
05-22 3527
Nginx代理中配置: proxy_redirect http:// https://; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_heade...
Nginx系列5之让Nginx支持HTTP1.1
weixin_33912638的博客
12-04 1045
preface nginx在反向代理HTTP协议的时候,默认使用的是HTTP1.0去向后端服务器获取响应的内容后在返回给客户端。 HTTP1.0和HTTP1.1的一个不同之处就是,HTTP1.0不支持HTTP keep-alive。nginx在后端服务器请求时使用了HTTP1.0同时使用HTTP Header的Connection:Close通知后端服务器主动关闭连接。这样会导致任何一个客户端的请...
nginx+ssl搭建
时光凉春衫薄的博客
03-01 547
nginx搭建SSL 安装基础组件 yum -y isntall firewalld yum -y install gcc gcc-c++ yum -y install pcre-devel yum -y install zlib-devel yum -y install openssl openssl-devel 下载与代码(假设当前在 ~/ 目录下) wget https://nginx...
kubernetes一步一步搭建(一)安装与http访问
热门推荐
程序员的世界
03-04 2万+
  众所周知,kubernetes(简称k8s)是用于管理docker集群的,最近一段时间一直在折腾环境问题,在此写一博客,来帮助像我一样的小白,避免走弯路。一、环境集群环境角色IP地址版本号Docker版本系统版本master192.63.63.1/24v1.9.117.12.0-ceCentos7.1node1192.63.63.10/24v1.9.117.12.0-ceCentos7.1n...
RFC8446 TLS1.3中文版(1-3)
aashuii的博客
10-17 2003
RFC8446
nginx tls1.3
07-27
回答: 要在nginx启用TLS1.3,你可以按照以下步骤进行操作。首先,关闭nginx,可以使用命令"./nginx -s stop"来关闭nginx。\[1\]然后,将编译安装的新版本的nginx配置文件复制到/usr/local/openresty/nginx/sbin目录下,并备份原来的nginx配置文件。\[1\]如果你还想使用全局命令nginx,可以先将原来的yum安装的nginx移除,然后将编译安装的新版本的nginx指向系统目录。你可以使用命令"which nginx"查看nginx的指向,然后使用"mv"命令将原来的nginx指向备份,最后使用"ln -s"命令将编译安装的新版本的nginx指向系统目录。\[2\]需要注意的是,如果你想在单个server下开启TLS1.3功能,你需要将所有的server块中的https下都开启TLS1.3才能生效。\[3\] #### 引用[.reference_title] - *1* *3* [nginx配置开启单个server下的TLS1.3](https://blog.csdn.net/weixin_43652106/article/details/108083055)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [nginx07-启用HTTP2TLSv1.3](https://blog.csdn.net/qq_36885515/article/details/123138045)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值