Hits: 2

参考之一:https://imtx.me/blog/enable-ts-1-3-for-nginx-on-ubuntu-18-04/

以下皆参考一的引文,依计施法并不成功,可以在此站验证:https://www.ssllabs.com/ssltest/index.html

首先升级至 Ubuntu 18.04.3,这是当前的最新版本。如果想要在 Nginx 下启用 TLS 1.3 的全部特性,包括 0-RTT,建议使用 Nginx 的最新 Stable PPA。

使用 Nginx Stable PPA:

sudo add-apt-repository ppa:nginx/stable
sudo apt-get update
sudo apt-get upgrade

更新 Ubuntu 和 Nginx 后,就可以写配置文件启用 TLS 1.3 了。

修改配置文件以启用 TLS 1.3

编辑 /etc/nginx/nginx.conf 文件,在 http 那块,找到 ssl_protocols 这字段,将原先的修改为:

ssl_protocols TLSv1.2 TLSv1.3;

建议保留 TLSv1.2,这样在旧的设备和环境上依然可以保持正常的浏览和访问。修改后,重启 Nginx:

sudo systemctl restart nginx

参考之二:https://ywnz.com/linuxyffq/4558.html

此文虽然排版远不如上文,逻辑上高屋建瓴,俺这愚笨之人也一下被点化,按逻辑捋到/etc/letsencrypt/options-ssl-nginx.conf发现症结,加TLS 1.3, 删去TLS 1.x。施终极大法sudo systemctl restart nginx,再次访问本博,奥利给!在ssltest网站验证如一。以下皆引文。

在Nginx主机中启用TLS 1.3

使用OpenSSL 1.1.1的Nginx后,打开Nginx主机文件:

sudo nano /etc/nginx/conf.d/site.conf

或者:

sudo nano /etc/nginx/sites-enabled/site.conf

要启用TLS 1.3,只需将TLSv1.3添加到SSL服务器块中的ssl_protocols指令即可:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

如果使用的是Let的加密证书,则可以在/etc/letsencrypt/options-ssl-nginx.conf文件中设置你的SSL配置,顺便说一下,certbot默认启用TLSv1,这是不安全的,你可以删除它,如果使用的是iRedMail和Nginx,则需要在/etc/nginx/templates/ssl.tmpl文件中编辑SSL配置。

保存并关闭文件,然后重新启动Nginx以使更改生效:

sudo systemctl restart nginx

CC BY-NC-SA 4.0 This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.