百度360必应搜狗淘宝本站头条
linux取消挂载yum卸载下横线怎么打mysql 外网访问权限php打乱数组顺序
当前位置:网站首页 > 编程文章 > 正文

nginx + http2 + tls1.3 环境搭建记录

qiyuwang 2024-11-03 16:31 9 浏览 0 评论

概述

1、软件版本要求

  • Nginx version 1.9.5+, 应使用 --with-http_v2_module 配置参数启用它; 配置指令: listen 443 ssl http2
  • Http2.0 以 https 方式部署, 要求 OpenSSL 版本 v1.0.2e+
  • TLS 1.3 要求 OpenSSL 版本 v1.1.1+
  • 查看各浏览器对 tls1.3 的支持情况: https://caniuse.com/tls1-3

2、具体部署的软件版本

  • CentOS Linux release 7.6.1810
  • openssl v1.1.1g
  • nginx-1.20.1

openssl

# 编译安装
wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1g.tar.gz
yum install make gcc-c++ -y
./config --prefix=/usr/local/openssl
make -j4 && make install

# 备份原 openssl 及设置新版 openssl 及动态库
mv /usr/bin/{openssl,openssl.bak}
mv /usr/include/{openssl,openssl.bak}
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl

# 让动态链接库为系统所共享
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig /etc/ld.so.conf

# 验证安装是否正常
ldd /usr/local/openssl/bin/openssl
openssl version -a

数字证书

创建 ca、用户私钥、证书

# 生成 CA 私钥
openssl genrsa -out ca.key 2048
# 根据 CA 私钥生成 CA 的自签名证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj "/C=CN/ST=BJ/L=BJ/O=HD/OU=dev/CN=ca/emailAddress=ca@world.com"

# 生成用户私钥 it123.com.key
openssl genrsa -out it123.com.key 2048
# 由用户私钥生成对应的公钥 it123.com.public.key
openssl rsa -in it123.com.key -pubout -out it123.com.public.key
# 根据私钥生成证书签名请求 it123.com.csr
openssl req -new -key it123.com.key -out it123.com.csr -subj "/C=CN/ST=BJ/L=BJ/O=HD/OU=ops/CN=*.it123.com/emailAddress=admin@it123.com"
# 使用 CA 的私钥和证书对用户证书签名, 生成 x509 证书 it123.com.pem
openssl x509 -req -days 3650 -in it123.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out it123.com.pem

查看公钥、私钥、证书签名请求

# 查看证书签名请求明细
openssl req -noout -text -in it123.com.csr
# 查看生成的私钥
openssl rsa -noout -text -in it123.com.key
# 查看公钥明细
openssl rsa -pubin -noout -text -in it123.com.public.key

nginx

添加编译选项--with-openssl=/usr/local/openssl编译安装

1、下载解压源码编译 nginx

# 源码下载及解压
wget http://nginx.org/download/nginx-1.20.1.tar.gz
tar xzf nginx-1.20.1.tar.gz && cd nginx-1.20.1

# 去掉配置文件 auto/lib/openssl/conf 中的 .openssl 路径
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"

# 编译配置选项
yum install pcre-devel zlib-devel -y
./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --with-openssl=/usr/local/openssl

# 编译安装
make -j4 && make install
mkdir -p /var/cache/nginx/

2、nginx server 配置

server {
    listen       443 ssl http2;
    server_name  demo.it123.com;

    ssl_certificate     /etc/nginx/ssl/it123.com.pem;
    ssl_certificate_key /etc/nginx/ssl/it123.com.key;
    ssl_protocols      TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

    ssl_prefer_server_ciphers  on;
    ssl_session_cache    shared:SSL:5m;
    ssl_session_timeout  5m;

    location / {
        root   html;
        index  index.html index.htm;
    }
}

3、nginx 中 http2、ssl/tls 相关配置项说明:

http2_max_concurrent_streams 128;   # 设置连接中并发 HTTP/2 流的最大数量; 配置上下文 http、server
http2_max_concurrent_pushes 10;     # 限制连接中并发推送请求的最大数量;   http、server
http2_chunk_size 8k;   # 设置响应正文切片的块的最大大小;   http、server、location
http2_body_preread_size 64k;  # 设置每个请求的缓冲区大小, 请求在开始处理之前可以保存在该缓冲区中; http, server
http2_recv_buffer_size 256k;  # 设置每个工作进程的输入缓冲区; http

; ssl/tls
ssl_prefer_server_ciphers on;   # 指定在使用 SSLv3 和 TLS 协议时,服务器密码应优先于客户端密码
ssl_session_cache    shared:SSL:5m;   # 设置存储会话参数的缓存的类型和大小
ssl_session_timeout  5m;     # 指定客户端可以重用会话参数的时间

相关推荐

windows开启telnet服务,检测远程服务端口是否可以连通

本文介绍windwos开启telnet服务,telnet服务一般可以用于检测远程主机的某个端口服务是否可以连通,在日常的工作中,我们经常会遇到在本地的windows检测远程服务端口是否可以连通。win...

仅在Web登录新华三交换机条件下启用设备Telnet登录方式

概述Web登录新华三交换机可以在“网络-服务”页面中启用设备Telnet服务或SSH服务,也可以在“设备-管理员”设置管理员用户的可用服务,然而,在设备Web页面中,无法设置lineVTY用户线【l...

思科交换机,路由器如何关闭telnet 开启ssh服务

SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。今天我们就来说说思科交换机,路...

智能化弱电行业常用的DOS命令,掌握了你也能成为...

前言在做智能化弱电项目时,前端摄像头设备安装结束后,我们会对网络摄像头进行调试,调试过程中会遇到前端摄像头没有图像或者图像出来了画面卡顿的现象。我们会采用ping命令来测试网络的连通性和网络承载能力。...

「干货」eNSP模拟器之配置Telnet登录

配置说明:配置Telnet,使R2(模拟PC)通过SW1登录到R1进行管理和配置。操作步骤:system-view##进入系统视图[Huawei]sysnameR1##改名为R1[R1]int...

win11开启telnet服务怎么操作 win11打开telent指令是什么

telnet服务是我们在进行远程连接的时候,必须要打开的一项功能。但是有不少用户们不清楚在windows11系统中怎么开启telnet服务。今天小编就使用详细的图文教程,来给大家说明一下打开telen...

华三(H3C)交换机Telnet的远程登陆

一,配置交换机管理IP[SW1]vlan20//创建管理vlan[SW1]interfacevlan20//进入vlan接口[SW1-Vlanif20]ipaddress192.168....

win10 telnet命令怎么查看端口是否打开

可能大家也会遇到这个问题,win10telnet命令查看端口是否打开的步骤是什么?具体方法如下:1、键盘输入快捷键WIN+R,打开运行窗口。2、输入cmd,点击确定按钮。3、弹出cmd命令行窗...

Windows 7如何打开Telnet功能(win7系统打开telnet)

Windows7默认安装后是没有开启telnet客户端功能的,例如,我们在开始菜单中输入cmd,然后使用telnet命令,会弹出下图提示:‘telnet’不是内部或外部命令,也不是可运行程序或批处理文...

为锐捷路由器交换机开启web和telnet,实现轻松管理

笔者上一篇文章写了关于锐捷二层交换机配置教程,那么接下来讲一下锐捷的路由交换设备配置web、telnet技巧。同样,今天的教程也是基于命令行,比较简单,适合新手小白进行学习。准备工作配置前准备:con...

一文学会telnet命令的用途和使用方法

Telnet是一个古老的远程登录协议,可以让本地计算机获得远程计算机的工作能力。它采用了TCP的可靠连接方式,可以连接任何网络互通的远程计算机。不过由于它采用了明文传输方式,存在安全风险,目前已经很少...

Telnet命令是什么?如何使用?(telnet命令在哪里开启)

telnet命令是一个常用的远程登陆工具,使用它,我们可以快捷地登陆远程服务器进行操作。那么如何使用telnet命令呢?首先,我们需要打开telnet功能,任何电脑默认是关闭此功能的,开启方式如下:打...

win11系统如何开启telnet服务(拷贝版本)

  我们要知道,Telnet协议是Internet远程登陆服务的标准协议,可以使用户在本地计算机上完成远程主机的工作,不过对于一些刚接触win11中文版系统的用户来说,可能还不知道telnet服务在哪...

如何开启telnet客户端(如何开启telnet服务)

Telnet协议是TCP/IP协议家族中的一员,是Internet远程登陆服务的标准协议和主要方式,Telnet是常用的远程控制Web服务器的方法。工作中经常用到telnet客户端,但在windows...

Telnet 是什么,如何启用它?(telnet有什么用)

对于Internet等TCP/IP网络,Telnet是一个终端仿真程序。Telnet软件在您的系统上运行并将您的个人计算机链接到网络服务器。它将所有数据转换为纯文本这一事实被认为是易受...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表