nginx 配置https_NGINX 一文配置 HTTPS (TLS1.3)

最新推荐文章于 2024-05-31 00:43:12 发布
最新推荐文章于 2024-05-31 00:43:12 发布
阅读量793 收藏 1
点赞数
文章标签: nginx 配置https nginx配置https

3e8e38a0c28cf668ab51b704d3b7a135.png

TLS1.3 是现在最新的 HTTPS 加密版本,网上很多教程为了兼容老版本,会写一大堆配置。本文给一个精简的开启且只开启 TLS1.3 的配置,适用于不用考虑兼容性的个人网站。

user www-data;
pcre_jit on;
events { multi_accept on; }

http {
    sendfile   on;
    tcp_nopush on;

    include      mime.types;
    default_type application/octet-stream;

    ssl_protocols  TLSv1.3;
    ssl_early_data on; # 0-RTT,若担心安全问题可关掉
    ssl_stapling   on; # 如果用CDN的证书需去掉这两行
    ssl_stapling_verify on;
    ssl_certificate     certs/yoursite.com.crt; # 如果有多个虚拟主机可不放这里
    ssl_certificate_key certs/yoursite.com.key; # 为相对于/etc/nginx的路径

# 真正的虚拟主机配置
server {
    listen [::]:443 ssl http2;
    server_name yoursite.com;

    root /var/www/html;
    add_header Strict-Transport-Security "max-age=15768000" always; # 根据自己需要修改
}

# www跳转apex
server {
    listen [::]:443 ssl http2;
    server_name www.yoursite.com;
    return 301 $scheme://yoursite.com$request_uri;
}

# http跳转https
server {
    listen [::]:80;
    server_name yoursite.com *.yoursite.com;
    return 301 https://$host$request_uri;
}

# 禁止Host不匹配的访问
server {
    listen [::]:80 default_server reuseport ipv6only=off; # 想分开监听V4就去掉ipv6only
    listen [::]:443 ssl default_server reuseport ipv6only=off;

    ssl_certificate     certs/selfsigned.crt; # 使用openssl生成的自签证书
    ssl_certificate_key certs/selfsigned.key;

    return 444;
}
}

缩进稍微处理了一下,以便缩小宽度。

还要简单解释几句。

ssl_session_cache是不需要使用的,此指令用于老浏览器不支持其它方式的TLS会话复用,靠它来启用服务端的。TLS1.3也不会使用它来会话复用。

ssl_ciphers无需指定,默认就会使用aes128和256-gcm以及chacha20。

ssl_prefer_server_ciphers不要启用,在有aes硬件加速的设备上,aes加密的效率比chacha20高。应让现代浏览器来选择加密方式,在不支持aes加速的设备上它会自动选择chacha20,若支持则自动选择aes。

weixin_39992665
关注
CentOS7平滑升级Nginx版本并启用TLS1.3
Bertram的博客
02-09 1390
CentOS7平滑升级Nginx版本并启用TLS1.3
NginxHTTPS:SSL/TLS证书的安装与配置
最新发布
java专栏
08-09 1991
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀🌟 欢迎来到网络安全的魔法课堂!今天我们要一起探索的是如何使用Nginx实现HTTPS,保护你的网站免受不怀好意的窥探。想象一下,Nginx就像是一位忠诚的保镖,而SSL/TLS证书就是它的盾牌,确保数据传输的安全。
nginxTLS1.3配置
enjoy.day
11-29 8459
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
nginx配置ssl的坑(TLSv1.3\ngx_http_ssl_module)
tom春的博客
07-21 916
查看openssl版本openssl version,一般腾讯云为1.0.2k版本。查看最新版本openssl,现在最新为1.1.1h版。
nginx配置开启单个server下的TLS1.3
weixin_43652106的博客
08-18 1286
记录:nginx配置开启单个server下的TLS1.3功能,现有的nginx配置,开启TLS1.3是必须把服务器上面所有的server块里面的https下面都开启TLS1.3,才能生效。 解决办法: 针对这一现象,GitHub中找到ngx_http_ssl_client_hello_module模块可解决此问题,实现对单个server下的https开启TLS1.3功能。 一、下载安装ngx_http_ssl_client_hello_module模块 文档地址:https://github.com/zen
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7619
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
高性能优化神器 Nginx HTTPS 延迟让Nginx提速 30%
uuqaz的博客
05-08 1696
导言 Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服务器单机应该可以期望承受住 50K 到 80K 左右[1]每秒的请求,同时将 CPU 负载在可控范围内。 但在很多时候,负载并不是需要首要优化的重点。比如对于卡拉搜索来说,我们希望用户在每次击键的时候,可以体验即时搜索的感觉,也就是说,每个搜索请求必须在 100ms -200ms 的时间内端对端地返回给用户
Nginx、Docker、Kubernetes三剑客:一文掌握,你的Web服务还停留在单机时代?
java专栏
05-26 271
Nginx与Docker、Kubernetes的结合,不仅让部署更加灵活快速,而且管理变得高效可靠。从简单的Dockerfile构建到复杂的Kubernetes配置,每一步都是你向集群管理大师迈进的阶梯。继续你的修炼,掌握更多容器化魔法,让Web服务的部署与管理像施法一样轻松自如。在云计算的魔法世界里,你的力量无可限量!
深入理解 TLSHTTPS
afterlife_union的博客
03-31 508
理解TLSHTTPS
一文带你了解Nginx基础知识 | 建议收藏
【CSDN】
08-04 1235
目录 1. 概述 2. 历史背景 3. nginx的优点 4. 主要组成部分 5. 版本规则 6. 版本选择 7. 编译配置 8. 开始编译 9. 配置语法 10. 重载,热部署,日志切割 1. 重载配置文件 2. 热部署 3. 日志切割 11. 静态资源Web服务器 1. 开启gzip 2. 打开目录结构 3. 网速限制 4. 日志 12. 反向代理服务 1. 缓存 13. 监控access日志 14. SSL安全协议 15. 对称加密、非对称加密 16
Spring Boot进阶(44):如何为你的项目开启HTTPS协议加密传输,让你的网站更加安全?
**My Coding Family**
09-06 2257
如何项目上配置HTTPS协议访问?这你必须会啊!
如何让Nginx快速支持TLS1.3协议详解
09-30
主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Nginx+HTTPS(SSL/TLS)
07-12 142
环境 首先确保机器上安装了openssl和openssl-devel rpm -qa | grep openssl #yum install openssl #yum install openssl-devel 确认nginx是否安装了SSL模块,如下的命令: /opt/nginx/sbin/nginx -V 看是否输出--with-http_ssl_module,...
Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20
Ximerr的博客
06-05 2096
nginx启动报错: nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/nginx.conf:20 问题解决记录。
nginx 配置 TLS 加密方式 、密钥交换方式
ITxiaozhang7的博客
01-21 4044
设置nginx 的加密方式、采用的椭圆曲线
nginx开启更为安全的tls1.3
蚁景网安学院
07-09 1186
随着互联网安全越来越受到重视,越来越多的网站选择启用https来保证数据的加密传输,TLS1.2发布于2008年8月,至今正好有10年,所以新协议TLS1.3呼之欲出。Google ch...
SSL和TLS-TLS 1.3
weixin_43364172的博客
11-12 1745
SSL和TLS-TLS 1.3Cipher SuitesCertificate ManagementAlert Messages TLS 1.3(版本号3,4)变化很大,比如新的消息流和更强大的加密。 一个典型的SSL/TLS握手需要最少两个RTTs,如果要验证证书,需要更多次(下载和检查CRLs,或者调用OSCP)。2010年,Google介绍和发布了False Start技术,它的思想是客户端...
HTTPSTLS1.3
qq_40276626的博客
09-21 958
TLS1.3建立在TLS1.2之上,如果不熟悉TSL1.2,可以看一下我之前写的一篇文章HTTPSTLS1.2连接详解 TLS1.3TLS1.2的升级版。主要改动在以下方面: 1、去除了RSA。因为RSA存在安全隐患,如果黑客手机大量数据破解了服务器私钥,或者服务器私钥泄露,那么密钥就会被黑客解密,数据就透明了。 2、TLS变成了1次RTT。具体的流程如下: 将CEDHE的参数配置放到了客户端,这样的话客户端可以直接传递给服务器公钥 1、服务器在收到客户端的第一个握手的时候,就可以生成密钥。 1、服务
Nginx 进阶】4、SSL/TLS 配置
weixin_52938153的博客
05-31 725
Nginx(发音为“engine-x”)是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3代理服务器。由俄罗斯的程序员Igor Sysoev所开发,首个公开版本发布于2004年。Nginx是免费的开源软件,遵循类BSD许可协议的条款发布。 Nginx的设计优化重点在于高并发、高性能和低内存使用。在架构上,Nginx使用异步事件驱动的方法,这使得它在处理大量并发连接时表现出色,特别是在处理静态资源、反向代理或负载平衡时,效率极高。由于其稳定性和轻量级的资源占用,Nginx非常适合在现代的
免费版Nginx HTTPS配置教程与优点解析
本文将详细介绍如何在Nginx服务器上配置支持HTTPS的示例代码,以确保网站的安全性和搜索引擎优化。首先,让我们了解一下为什么要使用HTTPSHTTPS是HTTP(超文本传输协议)与SSL(安全套接字层)或TLS(传输层安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值