己所不欲,勿施于人 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

SSL/HTTPS优化之NGINX配置

环境配置 memory 发布于February 20, 2017 标签: Nginx

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,重启nginx。就可以使 https://www.domain.com 来访问了。

server {
        listen   80;
        listen 443 ssl spdy;  #不兼容80的时候,就不用这个ssl和spdy指定了
        server_name www.lvtao.net; #填写绑定证书的域名
        ssl on;
        ssl_certificate lvtao.net.crt; #公钥
        ssl_certificate_key lvtao.net.key;#私钥
        ssl_session_cache shared:SSL:20m; #缓存池  缓存大小设置为 20M,大概能放下 80000 个会话
        ssl_session_timeout  10m;  #缓存时间
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #只启用 TLS 系列协议
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ;;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        #可选 以下三行 启用 OCSP  可以让浏览器更快的获取证书撤销状态
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/startssl_trust_chain.crt; 
        #启用 HSTS 用于通知浏览器强制使用 https 通信
        add_header Strict-Transport-Security "max-age=31536000";
        resolver 8.8.8.8 8.8.4.4;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
   }

完成设置后可以使用测试网站: https://www.ssllabs.com/ssltest/ 测下自己的得分,本站经过优化前的 D 提升到了 A+。

相关推荐

添加新评论

全部评论:已有 5 条评论

  1. daxia

    mark

  2. 企业孵化器

    厉害了

  3. themebetter

    优化方法很不错。

  4. 架构之路

    总结和nice,网站速度很快。

  5. 架构之路

    总结的很好,简单、完整、高效。

网站状态

  • 栏目分类:49个
  • 发布文章:1553篇
  • 用户评论:834条
  • 开博至今:4337天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字母
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或1个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • 小云: 不错
  • tper: 你列子中按分类归档的图片,每个分类下面显示分类下的文章的代码是怎...
  • 小云: 写的很不错
  • 女装品牌: 文章不错支持一下
  • memory: 升级之后不能访问是密码套件的事儿。其实可以配置好一个写公共文件引...
  • 欧文斯: 很奇怪,都升级之后 443 SSL 加密不能访问,其他端口却可以
  • 子午书屋: 好久没使用memcache了
  • 小云: 写的不错,谢谢分享
  • yiye: 楼主你好,不知道我回复的邮件您看到没?我下载的JPress不是最...
  • memory: 海哥最近更新的新版的我还没有测试过。具体原因还不清楚。不过你可能...
  • yiye: 楼主,我下的是最新的官方mysql镜像,然后密码用户名都正确,数...
  • memory: 这个是15年的文章了,这几年不知道有没有变化 。 你可以根据错误...
  • nice: 请教下这个评论审核提示代码是直接在评论模板调用的吗,我直接用了...
  • vultr: 学习了
  • 小云: 厉害,实用
  • memory: NND。自己写的看不懂了。。。
  • memory: 服务器上的一个配置.