技术分享:如何让网站支持TLS1.3(nginx)

时间:2018-2-1 作者:光网烈火编辑部 分类: 技术

虽然TLSv1.3仍然在草案中,但我们还是在光网烈火的几个节点服务器上,部署了对TLS1.3协议的支持,现在我们就给大家讲讲如何实现。

去nginx官方网站下载最新开发版nginx,然后去openssl的github仓库中下载最新的openssl开发版,两个包放入同一个目录内,需要同时编译安装。

[root@inetpub.cn]# wget http://nginx.org/download/nginx-1.13.8.zip

[root@inetpub.cn]# wget https://github.com/openssl/openssl/archive/master.zip

通过上面的命令,我们已经下载好了两个压缩包到当前的linux目录,解压后,我们进入nginx的源代码安装包进行编译安装
代码: 全选

技术分享:如何让网站支持TLS1.3
[root@inetpub.cn]# ./configure --user=leiyu --group=leiyu \
--prefix=/usr/local/nginx \
--with-http_stub_status_module \
--with-ipv6 \
--with-http_gzip_static_module \
--with-http_realip_module \
--with-http_v2_module \
--with-http_ssl_module \
--with-openssl=/usr/openssl-master \
--with-openssl-opt=enable-tls1_3

以上的代码,其中leiyu表示用户和组,openssl-master则为我们解压的openssl文件夹,修改成对应的路径即可make与make install

#nginx的nginx.conf站点配置部分

ssl_protocols TLSv1.3
ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-SHA256:TLS13-AES-128-CCM-8-SHA256
threads_pthread.c:(.text+0x16): undefined reference to `pthread_atfork'
collect2: error: ld returned 1 exit status
make[1]: *** [objs/nginx] Error 1
make[1]: Leaving directory `/root/lnmp/src/nginx-1.13.8'
make: *** [build] Error 2

如果发现编译报错,那我们编辑文件./objs/Makefile,找到-lpthread改为-pthread,保存后继续make与make install

#关于浏览器的TLSv3的开启方式

谷歌:

chrome://flags/,查找TLS 1.3 ,设置为enable即可

火狐:

about:config

security.tls.version.max 的 默认值 3 更换为 4 即可。

重启服务器后,我们发现,网站已经成功启用了TLSv1.3,如果有疑问和建议,欢迎同学们留言指出

技术分享:如何让网站支持TLS1.3

本文作者:雷雨

原文链接:https://inetpub.cn/viewtopic.php?f=10&t=544

成为作者:请联系光网烈火客服部 webmaster@lighttp.cn 提交ID申请


技术分享:如何让网站支持TLS1.3
分享本页链接:https://www.lighttp.com/?f=180

网站通过XHTML1.1严谨校验 网站通过CSS3.0严谨校验 网站通过Feed严谨校验


神来一句