在CentOS系統中配置Nginx以使用SSL時,您需要編輯Nginx的配置文件,通常位于/etc/nginx/nginx.conf
或/etc/nginx/conf.d/
目錄下的某個.conf
文件。為了選擇SSL協議,您需要配置ssl_protocols
指令。
以下是一個基本的Nginx SSL配置示例,其中指定了使用的SSL協議版本:
server {
listen 443 ssl;
server_name example.com; # 替換為您的域名
ssl_certificate /path/to/your/fullchain.pem; # 替換為您的證書文件路徑
ssl_certificate_key /path/to/your/privkey.pem; # 替換為您的私鑰文件路徑
ssl_protocols TLSv1.2 TLSv1.3; # 指定啟用的SSL協議版本
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'; # 指定加密套件
ssl_prefer_server_ciphers on;
# 其他配置...
}
在ssl_protocols
指令中,您可以指定一個或多個SSL/TLS協議版本。例如:
TLSv1.2
: 啟用TLS 1.2協議。TLSv1.3
: 啟用TLS 1.3協議。您可以根據需要啟用或禁用特定的協議版本。通常建議至少啟用TLS 1.2,因為它提供了良好的安全性和廣泛的瀏覽器支持。如果您的客戶端和服務器都支持TLS 1.3,并且您想要利用其性能改進和安全增強功能,那么您也應該啟用TLS 1.3。
請注意,較舊的協議版本(如SSLv3和TLS 1.0)由于存在已知的安全漏洞,因此不建議使用。
在更改配置后,您需要重新加載或重啟Nginx服務以使更改生效:
sudo nginx -t # 檢查配置文件語法是否正確
sudo systemctl reload nginx # 重新加載配置文件
# 或者
sudo systemctl restart nginx # 重啟Nginx服務
確保您的證書文件路徑和域名正確無誤,并且您的證書已經正確安裝。如果您還沒有SSL證書,您可以使用Let’s Encrypt免費獲取一個。