nginx配置开启单个server下的TLS1.3

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: lua 文章标签: nginx lua TLS1.3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43652106/article/details/108083055
版权

记录:nginx配置开启单个server下的TLS1.3功能,现有的nginx配置,开启TLS1.3是必须把服务器上面所有的server块里面的https下面都开启TLS1.3,才能生效。

解决办法:

针对这一现象,GitHub中找到ngx_http_ssl_client_hello_module模块可解决此问题,实现对单个server下的https开启TLS1.3功能。

一、下载安装ngx_http_ssl_client_hello_module模块

文档地址:https://github.com/zengjinji/ngx_http_ssl_client_hello_module

# cd 到openresty项目的nginx目录
cd /usr/local/src/openresty-1.15.8.3/bundle/nginx-1.15.8
# 克隆模块到目录
git clone https://github.com/zengjinji/ngx_http_ssl_client_hello_module.git
# 打补丁
patch -p1 < ./ngx_http_ssl_client_hello_module/nginx_1.16.1+.patch
# 编译
./configure --with-http_ssl_module --add-module=./ngx_http_ssl_client_hello_module --with-openssl=/usr/local/src/openssl-1.1.1g
二、编译openresty下的nginx
# cd 到openresty目录
cd /usr/local/src/openresty-1.15.8.3
# 编译
--------br压缩、http2、openssl-1.1.1g 、trim、pagespeed、http_ssl_client_hello、-----------
./configure   --add-module=/usr/local/src/ngx_brotli  --with-http_v2_module --with-openssl=/usr/local/src/openssl-1.1.1g  --add-module=/usr/local/src/ngx_http_trim_filter_module --add-module=/usr/local/src/incubator-pagespeed-ngx-1.13.35.2-stable --add-module=/usr/local/src/openresty-1.15.8.3/bundle/nginx-1.15.8/ngx_http_ssl_client_hello_module
三、将编译好的nginx配置文件替换项目中的nginx配置文件:

1,关闭nginx:./nginx -s stop (进到/usr/local/openresty/nginx/sbin目录执行)
2,将/usr/local/src/openresty-1.15.8.3/build/nginx-1.15.8/objs下的nginx配置文件复制,到/usr/local/openresty/nginx/sbin即可,记得sbin文件夹下面的nginx备份一下。

四、配置TLS1.3

1,在http下面,server上面开启模块:

	#开启http_ssl_client_hello模块
    ssl_client_hello on;

2,在server下面的https配置中添加 ssl_protocols TLSv1.3; 即可。
在这里插入图片描述

网页效果:
在这里插入图片描述

使用https://myssl.com进行检测:

appleคิดถึง
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx-1.16.1-TLS1.3-http2
01-05
(linux)该nginx集成有TLS1.3模块和http2模块,能有效的提升https的访问速度;使用该nginx必须确保服务器上/usr/local/src下拥有openssl-1.1.1d
nginx 的 HTTPS 安全配置TLS 1.3 踩坑
五侠的博客
08-10 5948
nginx 的 HTTPS 安全配置TLS 1.3 踩坑防止默认配置导致暴漏域名生成证书配置默认网站ssl_reject_handshake 指令TLS安全配置TLS 1.3 使用 防止默认配置导致暴漏域名 通过IP扫描,然后浏览器HTTPS访问会在证书里暴漏网站域名。 或者通过访问已知的,未配置HTTPS证书的域名,会暴漏有证书的第一个域名 有两种方式,一种是生成一个证书配置一个default_server。 一种是通过nginx 1.19.4 以后的ssl指令配置default_server。 生成
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 1577
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
nginx开启更为安全的tls1.3
蚁景网安学院
07-09 1132
随着互联网安全越来越受到重视,越来越多的网站选择启用https来保证数据的加密传输,TLS1.2发布于2008年8月,至今正好有10年,所以新协议TLS1.3呼之欲出。Google ch...
如何让Nginx快速支持TLS1.3协议详解
09-30
主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
nginxTLS1.3配置
enjoy.day
11-29 8136
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
【运维】nginx的安装、配置,支持tls1.2,1.3,以及限流、降级等
比嗨皮兔
04-06 3891
使用 Nginx 的 limit_req_zone 指令来设置限制区域,并在需要进行限制的地方使用 limit_req 指令进行限制。使用 Nginx 的 proxy_next_upstream 指令来设置当后端服务器出现错误时是否继续尝试向下一个后端服务器转发请求。以上配置将在后端服务器出现错误时继续尝试向下一个后端服务器转发请求,直到所有后端服务器均出现错误或请求被成功处理。以上配置将每秒最多允许一个请求,超过则返回 503 错误,同时允许瞬时突发 5 个请求。
nginx 配置https_NGINX 一文配置 HTTPS (TLS1.3)
weixin_39992665的博客
11-27 764
TLS1.3 是现在最新的 HTTPS 加密版本,网上很多教程为了兼容老版本,会写一大堆配置。本文给一个精简的开启且只开启 TLS1.3配置,适用于不用考虑兼容性的个人网站。user www-data; pcre_jit on; events { multi_accept on; } http { sendfile on; tcp_nopush on; incl...
Nginx配置https
mocoll的博客
03-04 2004
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
Windows Server 2016 Nginx 安装配置详细图文教程
09-30
主要介绍了Windows Server 2016 Nginx 安装配置详细图文教程,需要的朋友可以参考下
如何在Nginx配置SSL/TLS
最新发布
06-18
Nginx最初由俄罗斯的Igor Sysoev开发,并于2004年首次公开发布。以下是Nginx的一些关键特性: 1. **高性能Web服务器**: - Nginx能够处理大量的并发连接和请求,提供快速的Web服务。 2. **反向代理服务器**: - ...
nginx升级版本到1.16.1支持tcl1.3协议验证
07-20
linux命令行,nginx升级版本到1.16.1支持tcl1.3协议验证
TLS版本过时,升级方法
baidu_27521153的博客
08-05 6617
1.访问页面提示TLS版本过时 原因: 这并不是心血来潮,而是准备已久的决定。 早在2018 年 10 月,春季TLS 1. 3 版本发布之后,苹果、谷歌、Mozilla和微软四大浏览器制造商便已联合宣布计划在 2020 年初取消对TLS 1. 0 和TLS 1. 1 的支持。 所以需要对TLS进行升级,以便浏览器能正常访问。 2.解决方法 备份:找到nginx配置文件nginx.conf。或者直接备份ssl_protocols SSLv2 SSLv3 TLSv1; #ssl_proto...
Nginx配置引起的SSL证书认证失败
热门推荐
千面怪的博客
03-31 3万+
1. 背景目前公司对外开放了一个云服务平台,提供一些功能供商户接入使用。整个项目的架构是基于Spring + MyBatis的。另外,商户端的服务接口是基于SOAP WebService的,这部分使用CXF实现。 安全方面采用了Spring Security,可以对商户提供证书认证或密码认证。但是出于安全考虑,目前只开放了证书认证。为了使用证书认证商户,我们创建了一个自签名的CA,用来生成商户使用
Nginx SSL模块配置提供HTTPS支持(Ngx_http_ssl_module)
Gao_ning的博客
01-29 1万+
Ngx_http_ssl_module:此模块为Nginx提供HTTPS支持; 官方文档:http://nginx.org/en/docs/http/ngx_http_ssl_module.html 相关指令:     ssl on/off:SSL功能启用/不启用;     ssl_buffer_size:设置用于发送数据的缓冲区大小;     ssl_certificate
Nginx官方文档(三十四)【ngx_http_ssl_module】
极客神殿
09-23 2352
ngx_http_ssi_module 示例配置 指令 ssl ssl_buffer_size ssl_certificate ssl_certificate_key ssl_ciphers ssl_client_certificate ssl_crl ssl_dhparam ssl_early_data ssl_ecdh_curve ssl_password_file ssl_prefer_server_ciphers ssl_protocols ssl_session_cache ssl_sessi
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7568
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
升级Nginx开启TLS1.3 Only
AlistairEd的博客
03-03 4406
之前用Nginx搭了网站,开启了HTTPS,默认是TLS1.1和TLS1.2的,然后偶然看见有人在讨论TLS1.3,闲来无事,就开始折腾,打算使用TLS1.3 only。记录过程如下。 升级Nginx 之前的Nginx是用yum直接安装的,用 nginx -V 查看版本,发现编译用的openssl还是1.0的版本,顺便也升级openssl,然后重新编译Nginx。 从官网下载最新的Nginx和O...
nginx 升级支持 TLS1.2,TLS1.3
06-08
要升级 nginx 支持 TLS1.2 和 TLS1.3,您需要进行以下步骤: 1. 确认您当前使用的 nginx 版本是否支持 TLS1.2 和 TLS1.3。如果不支持,您需要升级 nginx 版本。 2. 安装 OpenSSL 版本 1.1.1 或更高版本。TLS1.3 只能在 OpenSSL 1.1.1 或更高版本下使用。 3. 在 nginx 配置文件中启用 TLS1.2 和 TLS1.3。您可以在 nginx 配置文件中添加以下代码: ``` ssl_protocols TLSv1.2 TLSv1.3; ``` 4. 配置您的 SSL 证书以支持 TLS1.2 和 TLS1.3。您需要使用支持 TLS1.2 和 TLS1.3 的 SSL 证书。 5. 重新启动 nginx 服务,使配置的更改生效。 这样,您就可以升级 nginx 支持 TLS1.2 和 TLS1.3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值