Debian Nginx SSL加密級別設置

在Debian系統上配置Nginx以啟用SSL并設置加密級別，通常涉及以下步驟：

1. 安裝OpenSSL：

   sudo apt-get install openssl -y
   

2. 生成私鑰：

   openssl genpkey -algorithm rsa -out private.key -aes256
   

3. 生成證書簽名請求(CSR)：

   openssl req -new -key private.key -out csr.csr
   

4. 生成自簽證書：

   openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt
   

5. 配置Nginx：

   編輯Nginx配置文件，通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default。在 server 塊中添加以下內容：

   listen 443 ssl;
   ssl_certificate /path/to/yourdomain.crt;
   ssl_certificate_key /path/to/yourdomain.key;
   

6. 優化SSL/TLS配置：

   為了提高安全性，可以禁用不安全的協議和加密套件，選擇強加密套件，并啟用HSTSHSTS、OCSP Stapling等安全特性。

   • 禁用舊版本的SSL/TLS協議：

     ssl_protocols TLSv1.2 TLSv1.3;
     

   • 選擇強加密套件：

     ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
     ssl_prefer_server_ciphers on;
     

   • 啟用HSTSHSTS：

     add_header Strict-Transport-Security "max-age=31536000;includeSubDomains;preload";
     

   • 啟用OCSP Stapling：

     ssl_stapling on;
     ssl_stapling_verify on;
     ssl_trusted_certificate /path/to/chain.pem;
     resolver 8.8.8.8 8.8.4.4 valid=300s;
     

7. 重啟Nginx：

   在應用配置更改后，重啟Nginx服務以使更改生效：

   sudo systemctl restart nginx
   

請注意，自簽名證書在生產環境中可能存在安全風險，因此建議從可信的證書頒發機構（CA）獲取SSL證書。以上信息提供了在Debian系統上配置Nginx以啟用SSL并設置加密級別的基本步驟。