我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2? 我正在使用以下版本的Nginx 和openssl库。
$./nginx -v nginx version: nginx/1.2.3$ openssl version -aOpenSSL 1.0.1 14 Mar 2012built on: Tue Jun 4 07:26:06 UTC 2013platform: debian-amd64 options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR:"/usr/lib/ssl"
首先,你需要在 nginx.conf
中激活 SSL/TLS:
server { listen 443 ssl; listen [::]:443 ssl; server_name example.org; ssl_certificate/etc/ssl/example.org.crt; ssl_certificate_key/etc/ssl/private/example.org.key;
两个 listen
行在你的IPv4和IPv6连接中启用 SSL。 如果你没有 IPv6,你可能会遗漏第二个 listen
行。
我假设你的服务器证书在 /etc/ssl
中。 如果你使用另一条路径,你会改变最后两条直线。
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
启用不同的TLS版本。 所有当前浏览器都可以使用 TLS1.2. 对旧浏览器我编写了一个小工具来启用安全设置。
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;ssl_prefer_server_ciphers on;
第一行设置你的nignx应该使用的密码。 第二行首选服务器( 而不是客户) 端的密码套件。 所以你可以用 strong(er) 密码。
你可以在 TLS1.2 use,如果你愿意的话,你可以使用 TLS1.2.,你可以把你的网站加入到的proud proud proud。 ; )
但是,有几种方法可以改进设置。 我遵循这个德国指南安全 Nginx 配置。
我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2?
我相信有三个选择。
首先,不做任何事情,使用 12版的OpenSSL。 我相信现在支持 TLS 1.1,但是你仍然不会有 TLS 1.2.
其次,构建并维护自己的 PPA插件。 有一些关于在覆盖发行版包中使用定制软件包进行这样操作的说明? completeness没有为Ubuntu和OpenSSL提供现有的个人包归档,这提供了完整的协议。
第三,升级到更高版本的Ubuntu,如 Ubuntu 14. 我正在尝试确定 Ubuntu 14现在是否能让它们全部启用。 请参见 14.OpenSSL和TLS协议?
Copyright © 2013-2023 . All Rights Reserved. 宵云 版权所有 南通宵云网络科技有限公司
工信部备案:苏ICP备18049042号-2 公安部备案:苏公网安备 32060102320703号
《中华人民共和国增值电信业务经营许可证》经营性ICP/ISP/IDC三证:苏B1.B2-20210805