nginx tls1.3配置ciphers顺序
发布时间:November 29, 2019 // 分类: // No Comments
nginx下ssl_ciphers配置对tls1.3无效,当开启ssl_prefer_server_ciphers选项时以openssl默认的顺序选择ciphers。
查看openssl支持的ciphers:
openssl ciphers -s -tls1_3
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256修改openssl tls1.3 ciphers顺序
centos8下修改配置文件/etc/crypto-policies/back-ends/opensslcnf.config
Ciphersuites = TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256其它版本,修改/etc/pki/tls/openssl.cnf配置文件:
openssl_conf = default_conf
[default_conf]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
Ciphersuites = TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256然后重启nginx即可。
https://trac.nginx.org/nginx/ticket/1529
https://trac.nginx.org/nginx/ticket/1445
https://wiki.openssl.org/index.php/TLS1.3#Ciphersuites
https://github.com/ssllabs/ssllabs-scan/issues/636
openssl生成自签名证书
发布时间:November 28, 2019 // 分类: // No Comments
openssl req -new -x509 -days 3650 -nodes -out server.crt -keyout server.key -subj "/C=XX/L=Default City/O=Default Company Ltd/"指定证书为2048位RSA:
openssl req -newkey rsa:2048 -x509 -days 3650 -nodes -out server.crt -keyout server.key -subj "/C=XX/L=Default City/O=Default Company Ltd/"查看证书信息:
openssl x509 -text -noout -in server.crt 生成ecc证书:
openssl ecparam -genkey -name prime256v1 -out server.key
# -name secp384r1
openssl req -new -x509 -days 3650 -key server.key -out server.cert分类
- Apache (13)
- Nginx (42)
- PHP (83)
- IIS (8)
- Mail (17)
- DNS (14)
- Cacti (14)
- Squid (5)
- Nagios (4)
- Puppet (7)
- CentOS (13)
- Iptables (23)
- RADIUS (3)
- OpenWrt (41)
- DD-WRT (1)
- VMware (9)
- 网站程序 (3)
- 备份存储 (11)
- 常用软件 (20)
- 日记分析 (10)
- Linux基础 (18)
- 欧诺代理 (2)
- Linux服务 (18)
- 系统监控 (4)
- 流量监控 (7)
- 虚拟化 (28)
- 伪静态 (2)
- LVM (3)
- Shell (18)
- 高可用 (2)
- 数据库 (16)
- FreeBSD (3)
- 网络安全 (25)
- Windows (35)
- 网络工具 (22)
- 控制面板 (3)
- 系统调优 (10)
- Cisco (3)
- VPN (5)
- ROS (20)
- Vim (14)
- KMS (4)
- PXE (2)
- Mac (1)
- Git (1)
- PE (1)
- LNS (2)
- Xshell (7)
- Firefox (13)
- Cygwin (4)
- OpenSSL (9)
- Sandboxie (3)
- StrokesPlus (1)
- AutoHotKey (4)
- Total Commander (3)
- WordPress (3)
- iMacros (6)
- Typecho (2)
- Ollydbg (1)
- Photoshop (1)
- 正则 (3)
- Debian (3)
- Python (8)
- NoSQL (6)
- 消息队列 (4)
- JS (7)
- Tmux (3)
- GO (7)
- HHVM (2)
- 算法 (1)
- Docker (2)
- PT (14)
- N1 (15)
- K2P (5)
最新文章
- n1盒子armbian 内核5.3.0编译更新wireguard内核模块
- n1盒子armbian 5.8内核负载高修改dtb解决
- 此内容被密码保护
- Vmware Workstation安装黑群晖系统
- 视频下载工具youtube-dl使用
- firefox下PT-Plugin-Plus打包并签名
- php openssl chacha20加密
- golang XChaCha20/ChaCha20/XChaCha20-Poly1305/ChaCha20-Poly1305加密
- golang/php使用aes加密文件
- btc/比特币确定性hd钱包bip32/bip39工具hd-wallet-derive使用
最近回复
- 海运: 缺少相应模块?
- lee: 你好,我执行这条语句 iptables -t mangle -A PREROUTING -m ...
- 海运: 只更新rootfs,不更新内核,我在用5.3配19.10,懒得再升最新版了,很稳定。 注意:更...
- lyly168: 这是手动挂载吧,请问自动挂载要怎么弄?
- swswsw1: 请问升级后,内核更新了吗?听说N1只有在5.0.2的内核下才稳定,怕升级了之后功耗太高
- 海运: LOG_LEVEL是配置文件变量,本文配置使用systemd启动在EnvironmentFil...
- 1: 我源碼沒有任何修改,同樣編譯的在X86上可以正常運行。然後原封不動編譯aarch64就提示以上錯誤。
- 海运: 你配置变量有问题?LOG_LEVEL? https://github.com/dani-gar...
- 1: 能共享下发邮箱么,我这编译出来运行报错如下 /------------------------...
- 海运: 正常运行