我刚刚为我的网站购买了SSL证书,并尝试使用我的nginx安装,但是uppon连接浏览器拒绝与网站的连接。 这是Vhost的相关部分:
server { listen 80; listen [::]:80; server_name mysite.be www.mysite.be; return 301 https://mysite.be$request_uri; } server { listen 443 ssl spdy; listen [::]:443 ssl spdy; ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem; ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # don.t use SSLv3 because of the POODLE attack # Enable OCSP Stapling, point to certificate chain ssl_stapling on; ssl_stapling_verify on; # Tell the browser we do SPDY # add_header Alternate-Protocol 443:npn-spdy/2; server_name mysite *.mysite.be; [.....] 您看到的configurationabov
nginx.conf部分:
ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s; ssl_session_cache shared:SSL:32m; ssl_buffer_size 8k; ssl_session_timeout 10m;
我不知道我做错了什么,我跟着很多教程来达到这一点,然后它不工作。
第一个服务器configuration是redirect到HTTPS(第二个configuration)。
在第二个服务器configuration中,SPDY模块不是默认生成的,它应该使用--with-http_spdy_moduleconfiguration参数启用。 请注意,为了同时接受同一端口上的HTTPS和SPDY连接,所使用的OpenSSL库应该支持自OpenSSL版本1.0.1( 此处参考 )后可用的“下一协议协商”TLS扩展。
我将以这种方式编写第二个服务器configuration(PoC):
server { listen 443; server_name .mysite.be; ssl on; ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem; ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; root [YOUR_ROOT_DIR] ... }
在nginx.conf我会省略所有关于SSL的事情,并保持默认状态。