如何使用 nginx 安装 letsencrypt 证书?
How to install a letsencrypt cert with nginx?
我已经使用 letsencrypt 在 ubuntu 上为最新的 nginx 安装了 SSL 证书。
设置很好,效果很好,但以下情况除外:
我对 SSL 了解不够,无法知道发生了什么,但我怀疑:
不久前我为 Apache 安装了 SSL 证书,现在为了它的 http/2 支持而转移到 Nginx。由于 nginx 插件还不稳定,我不得不自己安装证书,这就是我所做的:
在我的 nginx 配置中 (/etc/nginx/conf/default.conf) 我添加了:
server {
listen 80;
server_name [domain];
return 301 https://$host$request_uri;
}
server {
listen 443 http2;
listen [::]:443 http2;
server_name [domain];
ssl on;
ssl_certificate /etc/letsencrypt/live/[domain]/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/[domain]/privkey.pem;
}
这是否有可能以某种方式打破链条?这里的正确方法是什么?
谢谢大家
1) 对于强大的 Diffie-Hellman 和避免 Logjam 攻击,请参见 this great manual。
您需要使用这些指令扩展您的 nginx 配置(在您将生成 dhparams.pem 文件之后):
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;
2) 要获得正确的证书链,请使用 fullchain.pem,而不是 cert.pem,详情请参阅 this great tutorial。
你将获得 A 级:)
3) 作为奖励,试试这个很棒的服务:
"Generate Mozilla Security Recommended Web Server Configuration Files".
我已经使用 letsencrypt 在 ubuntu 上为最新的 nginx 安装了 SSL 证书。 设置很好,效果很好,但以下情况除外:
我对 SSL 了解不够,无法知道发生了什么,但我怀疑: 不久前我为 Apache 安装了 SSL 证书,现在为了它的 http/2 支持而转移到 Nginx。由于 nginx 插件还不稳定,我不得不自己安装证书,这就是我所做的:
在我的 nginx 配置中 (/etc/nginx/conf/default.conf) 我添加了:
server {
listen 80;
server_name [domain];
return 301 https://$host$request_uri;
}
server {
listen 443 http2;
listen [::]:443 http2;
server_name [domain];
ssl on;
ssl_certificate /etc/letsencrypt/live/[domain]/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/[domain]/privkey.pem;
}
这是否有可能以某种方式打破链条?这里的正确方法是什么?
谢谢大家
1) 对于强大的 Diffie-Hellman 和避免 Logjam 攻击,请参见 this great manual。
您需要使用这些指令扩展您的 nginx 配置(在您将生成 dhparams.pem 文件之后):
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;
2) 要获得正确的证书链,请使用 fullchain.pem,而不是 cert.pem,详情请参阅 this great tutorial。
你将获得 A 级:)
3) 作为奖励,试试这个很棒的服务:
"Generate Mozilla Security Recommended Web Server Configuration Files".