失言就是一不小心说了实话 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

SSL/HTTPS优化之NGINX配置

环境配置 memory发布于February 20, 2017 标签: Nginx

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,重启nginx。就可以使 https://www.domain.com 来访问了。

server {
        listen   80;
        listen 443 ssl spdy;  #不兼容80的时候,就不用这个ssl和spdy指定了
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate lvtao.net.crt; #公钥
        ssl_certificate_key lvtao.net.key;#私钥
        ssl_session_cache shared:SSL:20m; #缓存池  缓存大小设置为 20M,大概能放下 80000 个会话
        ssl_session_timeout  10m;  #缓存时间
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #只启用 TLS 系列协议
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!kEDH;#按照这个套件配置
        #完整参考 ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:HIGH:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH;
        ssl_prefer_server_ciphers on;
        #可选 以下三行 启用 OCSP  可以让浏览器更快的获取证书撤销状态
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/startssl_trust_chain.crt; 
        #启用 HSTS 用于通知浏览器强制使用 https 通信
        add_header Strict-Transport-Security "max-age=31536000";
        resolver 8.8.8.8 8.8.4.4;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
   }

完成设置后可以使用测试网站: https://www.ssllabs.com/ssltest/ 测下自己的得分,本站经过优化前的 D 提升到了 A+。

相关推荐

添加新评论

全部评论:已有 5 条评论

daxia

daxia2017-03-06 13:44:10 回复

mark

企业孵化器

企业孵化器2017-02-28 15:25:20 回复

厉害了

themebetter

themebetter2017-02-22 11:22:28 回复

优化方法很不错。

架构之路

架构之路2017-02-21 14:12:12 回复

总结和nice,网站速度很快。

架构之路

架构之路2017-02-21 14:09:41 回复

总结的很好,简单、完整、高效。

网站状态

  • 栏目分类:35个
  • 发布文章:1109篇
  • 用户评论:620条

最新回复

  • 香港服务器: 很详细,学习了
  • memory: 对,这个密钥最好是自己换一下。当然不嫌麻烦甚至可以考虑将密钥做到...
  • 小明明: 在加密的时候 秘钥固定不就可以机密了吗
  • 上海代理记账: 看起来代码有一些复杂的呀。。。
  • 香港云服务器: 站长不错,不错的干货
  • yet handsome: 我看了你的这个发现历史真的是惊人的相似,我们已经做到redis集...
  • memory: 好久不玩它们了,我的相关知识来自谷歌...
  • 于小鱼: 你好,想请教一些关于xen和kvm的问题。
  • memory: 如果将图片 base64_encode 后,再想取回以前的路径不...
  • 陈凌风: 我要区正常的路径显示怎么办?
  • genuiner: 牛逼
  • haitongz: 赞
  • memory: php64位? 这个我还真没有注意。。。回头再试试
  • Kngstr: 这个很简单,你用的PHP不是64位的,64位的dll只能在64位...
  • memory: 使用的是typecho.
  • GavinHsueh: 您好,我了解下您的博客是自己开发的么?看着很不错
  • 个人博客: 看看先
  • memory: 谢谢,已修正。
  • jrotty: 方法一中next后面少个'符号
  • daxia: mark