Nginx SSL证书安装
下载证书
请到控制台-订单查询-查看,在订单详情的最后,可以直接下载:
Nginx证书配置 (版本低于1.9.5)
将包含中间证书的server_with_chain.crt和server.key上传服务器,然后修改配置文件nginx.conf,加入以下参数:
server {
...
listen 443 ssl;
server_name www.example.com;
ssl_certificate server_with_chain.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5:!DH;
ssl_prefer_server_ciphers on;
...
}如果需要支持IPv6,请额外加入参数:
listen [::]:443 ssl ipv6only=on;
安装完成
Nginx证书配置 (版本高于1.9.5,低于1.13)
将包含中间证书的server_with_chain.crt和server.key上传服务器,然后修改配置文件nginx.conf,加入以下参数:
server {
...
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate server_with_chain.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5:!DH;
ssl_prefer_server_ciphers on;
...
}如果需要支持IPv6,请额外加入参数:
listen [::]:443 ssl http2 ipv6only=on;
安装完成
Nginx证书配置 (版本高于1.13)
将包含中间证书的server_with_chain.crt和server.key上传服务器,然后修改配置文件nginx.conf,加入以下参数:
server {
...
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate server_with_chain.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5:!DH;
ssl_prefer_server_ciphers on;
...
}如果需要支持IPv6,请额外加入参数:
listen [::]:443 ssl http2 ipv6only=on;
安装完成
开启先进的加密套件算法
如果您的nginx版本高于1.18,默认已开启先进加密算法,无需特别配置。如果您的nginx版本低于1.18,通过配置ssl_ciphers参数,指定安全的加密算法套件,支持Apple ATS的同时,也可以支持旧浏览器正常访问。
“推荐配置一”,优先选择最强的加密算法,更安全,服务器负载相对较高。
“推荐配置二”,在保证加密安全的前提下,优先选择速度更快的算法,服务器负载相对较低。
推荐配置一:
ssl_ciphers ECDHE:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256:DES-CBC3-SHA:!NULL:!aNULL:!RC4:!MD5:!DH;
推荐配置二:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256;
文档编写日期:2022年03月25日