首页 » 技术文章 » 浏览内容

Linux下使用Nginx详细配置HTTPS方案

81 0 发表评论

我一度以为只要可以通过https访问网站SSL就算配置完成了,但前几天网友反馈说移动设备下出现证书错误,我还以为是刚配置完缓存的原因,后来自己查了一些资料,发现虽然自己的网站可以通过https访问了,但还有一些参数没有配置,造成了一些旧设备上出现证书错误。

通过下面这个地址可以检测你的证书情况

https://www.ssllabs.com/ssltest/index.html

一开始我的检测结果C,分数也比较低,重新配置后,duang 达到了A+。

ssl%e8%af%a6%e7%bb%86%e6%83%85%e5%86%b5

下面说下配置中的一些参数,和可能出现的错误。

启用ssl

一般来说在你证书签发后,即可在网站的nginx配置文件中添加如下配置就可以通过https访问了

比如小残博客的配置文件路径 /usr/local/nginx/conf/vhost/

如果这通过https访问长时间没有响应,检查下自己的443端口是否开启。

dhparam

执行下列命令

然后在配置文件中加入

注意文件路径要和你的一致!

ssl_protocols和ssl_ciphers

SSLv3是有漏洞的,所以不应该启用这货,并启用启用向前保密。

session resumption

ocsp stapling

HSTS

%e5%8d%9a%e5%ae%a2%e9%85%8d%e7%bd%ae

includeSubdomains为可选参数,如果你的子域名没证书,不要添加这个参数。max-age为过期时间,不到设置的过短。

几个错误

the chain is incomplete

出现这个问题主要是crt里的证书不全,以comodo为例,需要使用3个证书,当你少添加的时候会出现这个问题。

Chain issues – Contains anchor

删掉第一个root证书即可

完整HTTPS配置文件

一定要注意证书的路径,不要直接复制使用

强制HTTPS

一般来说,只需要开启HSTS 即可,如需强制则将80端口301到https

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:475 篇
  • 评论数目:1466 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2120 天
  • 最后更新:2016-12-3

订阅博客