crazyssl 去年就出过一年通配符 SSL 证书的活动,今年活动又来了,有需要的朋友不要错过了,这个是个自家提供的全球信任的 TrustOcean Wildcard SSL 通配符 1 年有效期,依然全球信任,实则为付费证书免费促销活动。
– 1 年 365 天有效期 0 元 拿到您的通配符 SSL 证书
– 避免欺诈订单检测,先注册确认邮件,
– 申请第二个证书之前需要配置并签发之前的免费证书
– 自家品牌网站上线,欢迎吐槽提建议
– 更有其他的全球最低价品牌 SSL 证书列表
官方网站
SSL 配置教程
让你的站点获得 SSL 配置达到 A+水平
nginx 配置,只贴出 SSL 相关,需要将配置放到 server {} 位置。
首先开启 ssl
|
1
2
3
4
5
|
listen 443 ssl;
server_name www.example.com;
ssl on;
ssl_certificate /etc/ssl/certs/ssl-bundle.crt;
ssl_certificate_key /etc/ssl/private/www_example_com.key;
|
其中 ssl-bundle.crt 是网站证书,www_example_com.key 是证书私钥,如何获取这两个文件,请自行搜索。
需要注意的是,大部分 CA 提供的证书都是多级,所以可能需要我们把多个证书合并成一个,这样可以减少浏览器额外下载中间证书的次数。
生成 dhparam.pem
|
1
|
$ openssl dhparam -out dhparam.pem 4096
|
配置到 nginx
|
1
|
ssl_dhparam /etc/ssl/certs/dhparam.pem;
|
协议和 ciphers 选择,ciphers 的选择比较关键,这个配置中的 ciphers 支持大多数浏览器,但不支持 XP/IE6 。
|
1
2
3
4
|
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_stapling on;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";
ssl_prefer_server_ciphers on;
|
ssl session 配置
|
1
2
|
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
|
HSTS 配置,这个对评分影响也比较大,但如果开启这个,需要全站开启 HTTPS 。
|
1
|
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
|
完整配置文件
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
server {
listen 443 ssl;
server_name www.example.com;
ssl on;
ssl_certificate /etc/ssl/certs/ssl-bundle.crt;
ssl_certificate_key /etc/ssl/private/www_example_com.key;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_stapling on;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
location / {
# pass
}
}
|
本文为原创文章,版权归主机之家测评所有,欢迎分享本文,转载请保留出处!
你可能也喜欢
- ♥ 群晖 Synology 官方:对抗加密勒索软件的自我防护必要措施08/27
- ♥ 哪些号码可以注册 Google Voice,如何绕过限制08/21
- ♥ themebetter 主题:618 年度大放价,全场 7 折特惠,主题最高直降 320 元08/02
- ♥ Ubuntu18.04server 下载和 ubuntu18.04.2 安装教程,Ubuntu 配置 IP,DNS 和设置 root 能 SSH12/12
- ♥ DUX 主题 7.8 版本更新:新增分类置顶文章、代码区域复制、相关文章缓存等 15 项功能与调整05/16
- ♥ BBR+BBR 魔改+Lotsever(锐速)一键脚本 Centos/Debian/Ubuntu12/23
