关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

在 Nginx中,如何启用 TLS 1.2

发布时间:2019-10-26 07:07:34

问题:

我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2? 我正在使用以下版本的Nginx 和openssl库。

复制代码
$./nginx -v


nginx version: nginx/1.2.3$ openssl version -aOpenSSL 1.0.1 14 Mar 2012built on: Tue Jun 4 07:26:06 UTC 2013platform: debian-amd64


options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM


OPENSSLDIR:"/usr/lib/ssl"

回答 1:

首先,你需要在 nginx.conf 中激活 SSL/TLS:

复制代码
server {


 listen 443 ssl;


 listen [::]:443 ssl;


 server_name example.org;



 ssl_certificate/etc/ssl/example.org.crt;


 ssl_certificate_key/etc/ssl/private/example.org.key;

两个 listen 行在你的IPv4和IPv6连接中启用 SSL。 如果你没有 IPv6,你可能会遗漏第二个 listen 行。

我假设你的服务器证书在 /etc/ssl 中。 如果你使用另一条路径,你会改变最后两条直线。

复制代码
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

启用不同的TLS版本。 所有当前浏览器都可以使用 TLS1.2. 对旧浏览器我编写了一个小工具来启用安全设置。

复制代码
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;ssl_prefer_server_ciphers on;

第一行设置你的nignx应该使用的密码。 第二行首选服务器( 而不是客户) 端的密码套件。 所以你可以用 strong(er) 密码。

你可以在 TLS1.2 use,如果你愿意的话,你可以使用 TLS1.2.,你可以把你的网站加入到的proud proud proud。 ; )

但是,有几种方法可以改进设置。 我遵循这个德国指南安全 Nginx 配置。


回答 2:

我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2?

我相信有三个选择。

首先,不做任何事情,使用 12版的OpenSSL。 我相信现在支持 TLS 1.1,但是你仍然不会有 TLS 1.2.

其次,构建并维护自己的 PPA插件。 有一些关于在覆盖发行版包中使用定制软件包进行这样操作的说明? completeness没有为Ubuntu和OpenSSL提供现有的个人包归档,这提供了完整的协议。

第三,升级到更高版本的Ubuntu,如 Ubuntu 14. 我正在尝试确定 Ubuntu 14现在是否能让它们全部启用。 请参见 14.OpenSSL和TLS协议? 




/template/Home/Zkeys/PC/Static