首页 小组 文章 搜索 用户

[插件]amh4.2nginx支持tsl1.3方法

2020-04-29 09:03:24
0
380

新一代安全传输协议TLS1.3的普及会大大提升HTTP连接速度的性能,消除HTTPS使用性能上的担忧,助推HTTPS进一步应用落地。早在去年,阿里云CDN HTTPS就已经全面支持TLS1.3,鼓励用户逐步升级到更安全、性能更佳的TLS1.3,帮助终端获得更好的访问体验。

先装好amh4.2,及ssl插件,并把网站的ssl设置好,下例以主机识域名home为例.


下载openssl1.1:https://www.openssl.org/source/

nginx最新稳定版本:http://nginx.org

wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz
wget http://nginx.org/download/nginx-1.18.0.tar.gz
tar zxvf  openssl-1.1.1g.tar.gz
tar zxvf nginx-1.18.0.tar.gz
mv openssl-1.1.1g /usr/local/nginxtool/openssl1.1
cd nginx-1.18.0
source /etc/profile
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module  --with-http_gzip_static_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --without-http_uwsgi_module --without-http_scgi_module --with-ipv6 --with-stream --with-http_v2_module --with-openssl=/usr/local/nginxtool/openssl1.1 --with-openssl-opt=enable-weak-ssl-ciphers  --add-module=/usr/local/ngx_cache_purge --add-module=/usr/local/nginxtool/lua-nginx-module --add-module=/usr/local/nginxtool/ngx_devel_kit --with-ld-opt="-Wl,-rpath,/usr/local/lib"
gmake&&gmake
cd /usr/local/nginx/conf/vhost

编辑home.conf

vi home.conf

找到最下面

修改为

listen 443 ssl ;
ssl on;
ssl_certificate 不变
ssl_certificate_key 不变
ssl_protocols               TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_session_timeout 5m;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD;
ssl_prefer_server_ciphers on;

保存退出后

重启nginx

amh nginx restart

测试tls1.3

打开谷歌浏览器,更多工具--开发者工具D---Security

可以看到已经支持tls1.3了




评论