因為http傳輸是明文,通過抓包很容易獲取到報文, 所以現在很多站點都開啟了https,HTTPS在HTTP的基礎上加入了SSL協議,對傳輸的數據進行加密。
目前主流的ssl協議是tlsv1.2
nginx 配置 https(tlsv1.2)的例子
server_name xxx.xxx.com; listen 443; ssl on; access_log /logs/nginx/xxx.xxx.com_access.log main; error_log /logs/nginx/xxx.xxx.com_error.log; ssl_certificate /opt/nginx/ssl/xxx.xxx.com.pem; # 公鑰證書 ssl_certificate_key /opt/nginx/ssl/xxx.xxx.com.key; # 私鑰證書 ssl_session_timeout 5m; # 客戶端能夠重用會話緩存中ssl參數的過期時間 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 指定支持的協議,這里表示支持1、1.1和1.2, 如果只寫1.2表示僅支持1.2. 注:OpenSSL版本要求 >= 1.0.1 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE; # 加密套件,多個之間用冒號分隔,前有感嘆號的表示必須廢棄 ssl_prefer_server_ciphers on; # 設置協商加密算法,優先使用服務端定義的加密套件 }
最后進行測試,打開谷歌瀏覽器訪問, 按F12,點擊security, 如果出現下面的提示說明開啟了tlsv1.2,否則不行。
遇到的坑: 配置tls1.2不生效, 原因是某些站點ssl部分配置不一致。 所以一定要注意: 如果你有多個站點配置了https, 所有的站點的ssl配置部分一定要一致,要不然不會生效。
這部分最好一樣:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE; ssl_prefer_server_ciphers on;