设为首页收藏本站

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

新浪微博账号登陆

只需一步,快速开始

搜索
查看: 908|回复: 3

Nginx配置HTTPS获得A+评分

[复制链接]

签到天数: 128 天

[LV.7]常住居民III

发表于 2016/4/12 23:57 | 显示全部楼层 |阅读模式 |Google Chrome 49.0.2623.112|Windows 7
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
本帖最后由 xlaptx 于 2016/4/13 00:02 编辑

添加Nginx的源(nginx1.9.5以上版本自带HTTP2,不用编译)

  1. vi /etc/apt/sources.list  (添加下面两行)
  2. deb http://nginx.org/packages/mainline/debian/ jessie nginx
  3. deb-src http://nginx.org/packages/mainline/debian/ jessie nginx   (保存退出)
  4. wget http://nginx.org/keys/nginx_signing.key
  5. apt-key add nginx_signing.key
复制代码


安装Nginx

  1. apt-get update
  2. apt-get upgrade
  3. apt-get install nginx
复制代码


为了安全获得A+评分需要增加Diffie-Hellman参数

  1. openssl dhparam -out dhparam.pem 2048  (4096也行,等待时间可能稍长)
复制代码


配置文件如下

  1. server {
  2.     listen 80;
  3.     server_name blog.tse.moe;  (修改为自己域名)
  4.     return 301 https://blog.tse.moe$request_uri;   (修改为自己域名)
  5. }     

  6. server {
  7.     listen 443 ssl http2;   (启用HTTP2)
  8.     server_name blog.tse.moe;    (修改为自己域名)
  9.     ssl_certificate /etc/nginx/ssl/xxx.crt;      (证书保存路径)
  10.     ssl_certificate_key /etc/nginx/ssl/xxx.key;  (证书保存路径)
  11.     ssl_dhparam /etc/nginx/ssl/dhparam.pem;      (证书保存路径)
  12.     ssl_session_cache shared:SSL:10m;
  13.     ssl_session_timeout 10m;
  14.     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  15.     ssl_stapling on;
  16.     ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";
  17.     ssl_prefer_server_ciphers on;
  18.     add_header Strict-Transport-Security max-age=15768000;  (开启HSTS ,非全站HTTPS删掉此行)
  19.     resolver 8.8.8.8 8.8.4.4 valid=300s;
  20.     resolver_timeout 5s;
复制代码


测试地址https://www.ssllabs.com/ssltest/
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 2540 天

[LV.Master]伴坛终老

 成长值: 22440
发表于 2016/4/13 01:50 | 显示全部楼层 |Google Chrome 49.0.2623.112|Windows 10


欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 128 天

[LV.7]常住居民III

 楼主| 发表于 2016/4/13 18:14 | 显示全部楼层 |Google Chrome 49.0.2623.112|Windows 7
好像没红叉啊0.0
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 411 天

[LV.9]以坛为家II

发表于 2016/4/14 03:07 | 显示全部楼层 |Google Chrome 27.0.1453.93|Windows 7
签到顺便帮顶
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 用百度帐号登录新浪微博账号登陆

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2018/12/17 08:44 , Processed in 0.253069 second(s), 43 queries , Gzip On, Memcache On.

Powered by itzmx!

© 2011-2018 sakura

快速回复 返回顶部 返回列表