示例配置
为降低处理器负载,建议
- 设置工作进程数等于处理器个数
- 启用共享会话缓存
- 禁用built-in会话缓存
- 增加会话的有效期(默认是5分钟)
worker_processes auto; stream { ... server { listen 12345 ssl; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ... }
ssl_certificate
语法:ssl_certificate file
默认:—
上下文:stream, server
为给定的服务器指定一个PEM格式的证书文件。如果中级证书需要指定在初级证书中,它们需要在相同的文件中按如下顺序指定:初级证书在前,然后是中级证书。PEM格式的密钥也应该放到相同文件中。
从1.11.0版本开始,该指令可以指定多次加载不同类型的证书,例如RSA和ECDSA:
server { listen 12345 ssl; ssl_certificate example.com.rsa.crt; ssl_certificate_key example.com.rsa.key; ssl_certificate example.com.ecdsa.crt; ssl_certificate_key example.com.ecdsa.key; ... }
只有OpenSSL1.0.2及更高版本支持分离的不同证书链。旧版本只有一个证书链可以使用。
ssl_certificate_key
语法:ssl_certificate_key file
默认:—
上下文:stream, server
为给定的服务器指定一个PEM格式的密钥文件。
engine:name:id值可以代替文件指定,会从OpenSSL引擎name中加载指定id的密钥。
ssl_ciphers
语法:ssl_ciphers ciphers
默认:ssl_ciphers HIGH:!aNULL:!MD5
上下文:stream, server
指定启用的加密算法。加密算法指定为OpenSSL库可以识别的格式,例如:
ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
完整的列表可以通过“openssl ciphers”命令查看。
ssl_dhparam
语法:ssl_dhparam file
默认:—
上下文:stream, server
为DHE算法指定一个包含DH参数的文件。
ssl_ecdh_curve
语法:ssl_ecdh_curve curve
默认:ssl_ecdh_curve auto
上下文:stream, server
为ECDHE算法是定一个curve。
当使用OpenSSL1.0.2或更高版本时,可以指定多个curves(1.11.0+),例如:
ssl_ecdh_curve prime256v1:secp384r1;
在使用OpenSSL1.0.2及更高版本时,特殊值auto(1.11.0+)指示nginx使用一个OpenSSL库中建立的列表,老版本使用prime256v1。
在1.11.0版本之前,prime256v1 curve会被默认使用。
ssl_handshake_timeout
语法:ssl_handshake_timeout time
默认:ssl_handshake_timeout 60s
上下文:stream, server
指定SSL握手完成的超时时间。
ssl_password_file
语法:ssl_password_file file
默认:—
上下文:stream, server
指定一个文件保存密钥的密码,每个密码指定在单独的一行中。密码在加载密钥时会轮流尝试。
示例:
stream { ssl_password_file /etc/keys/global.pass; ... server { listen 127.0.0.1:12345; ssl_certificate_key /etc/keys/first.key; } server { listen 127.0.0.1:12346; # named pipe can also be used instead of a file ssl_password_file /etc/keys/fifo; ssl_certificate_key /etc/keys/second.key; } }
ssl_prefer_server_ciphers
语法:ssl_prefer_server_ciphers on | off
默认:ssl_prefer_server_ciphers off
上下文:stream, server
指定当使用SSLv3和TLS协议使用时服务器加密算法应该优先于客户端加密算法。
ssl_protocols
语法:ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]
默认:ssl_protocols TLSv1 TLSv1.1 TLSv1.2
上下文:stream, server
启用指定的协议。TLSv1.1和TLSv1.2参数只有OpenSSL库在1.0.1及更高版本使用时才有效。
ssl_session_cache
语法:ssl_session_cache off | none | [builtin[:size]] [shared:name:size]
默认:ssl_session_cache none
上下文:stream, server
设置保存会话参数的缓存类型和大小。缓存可以下面任意类型:
off
使用会话缓存是强烈禁止的:nginx明确告诉客户端会话不能被重用。
none
使用会话缓存是不允许的:nginx告诉客户端会话可以重用,但实际上会话参数不会保存在缓存中。
builtin
构建在OpenSSL中的缓存,只被一个工作进程使用。缓存大小指定在会话中。如果没给出大小,它等于20480个会话,使用built-in缓存可以引起内存碎片。
shared
在工作进程之间共享的缓存。缓存大小指定为字节。1M可以保存大约4000个会话。每个共享缓存有一个唯一的名字。相同名字的缓存可以在多个服务器之间使用。
缓存和类型可以同时使用,例如:
ssl_session_cache builtin:1000 shared:SSL:10m;
但是只使用共享缓存不带built-in缓存会更有效率。
ssl_session_ticket_key
语法:ssl_session_ticket_key file
默认:—
上下文:stream, server
设置一个带密钥的文件用于加密和解密TLS会话凭据。如果相同的密钥在多个服务器之间共享,该指令是必要的。默认情况下,会使用随机生成的密钥。
如果指定的多个密钥,只有第一个密钥会用于加密TLS会话凭据。这允许配置密钥循环,例如:
ssl_session_ticket_key current.key; ssl_session_ticket_key previous.key;
文件必须包含48字节的随机数据,可以通过下面命令创建:
openssl rand 48 > ticket.key
ssl_session_tickets
语法:ssl_session_tickets on | off
默认:ssl_session_tickets on
上下文:stream, server
启用或禁用通过TLS会话凭证的会话恢复。
ssl_session_timeout
语法:ssl_session_timeout time
默认:ssl_session_timeout 5m
上下文:stream, server
指定一个时间,在这个期间客户端可以重用保存在缓存中的会话参数。