Nginx的HTTPS加速响应

本站的基本优化方案,来自于网络

测试环境

  • 系统:CentOS Linux 7.5.1804 (Core)
  • 宝塔Linux面板
  • Nginx Openresty
  • PHP7.2

教程

1.添加OCSP Stapling验证

cd /www/ && openssl gendh -out dh2048.pem 2048 && cp -i /www/dh2048.pem /www/server/nginx/conf/

把上方OCSP Stapling验证代码使用SSH粘贴运行,完成后重启Nginx之后在执行下一步

2.修改网站配置文件中的SSL位置

把下方代码放入网站设置-配置文件-找到 #HTTP_TO_HTTPS_EN D注释到 #SSL-END 注释之间

ssl_certificate    /etc/letsencrypt/live/你的域名/fullchain.pem;
ssl_certificate_key    /etc/letsencrypt/live/你的域名/privkey.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
#开启HSTS,并设置有效期为“31536000秒”(一年),包括子域名(根据情况可删掉),预加载到浏览器缓存(根据情况可删掉)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#只允许TLS协议
ssl_stapling on;
#OCSP Stapling开启,OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高TLS握手速度
resolver 8.8.8.8 114.114.114.114 valid=3600s;
#用于查询OCSP服务器的DNS
ssl_prefer_server_ciphers on;
#由服务器协商最佳的加密算法
ssl_stapling_verify on;
#OCSP Stapling验证开启
ssl_dhparam dh2048.pem;
#DH-Key交换密钥文件位置
ssl_session_cache shared:SSL:10m;
#Session Cache,将Session缓存到服务器,这可能会占用更多的服务器资源
ssl_session_timeout 10m;
#SSL session过期时间
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
#加密套件
error_page 497  https://$host$request_uri;

如下图

Nginx的HTTPS加速响应
「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论