在Nginx中配置TLS版本,您需要编辑Nginx的配置文件(通常位于/etc/nginx/nginx.conf或/etc/nginx/sites-available/your_domain.conf)。以下是配置TLS版本的步骤:
sudo nano /etc/nginx/nginx.conf
或者
sudo nano /etc/nginx/sites-available/your_domain.conf
server块中,找到或添加listen指令,指定TLS版本。例如,要启用TLS 1.2和TLS 1.3,您可以这样配置:server {
# ...
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /path/to/your/fullchain.pem;
ssl_certificate_key /path/to/your/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
# ...
}
在这个例子中,ssl_protocols指令指定了启用的TLS版本,而ssl_ciphers指令定义了加密套件。ssl_prefer_server_ciphers on;表示优先使用服务器端的加密套件。
ssl_protocols指令中,如下所示:ssl_protocols TLSv1.0 TLSv1.1 TLSv1.2 TLSv1.3;
但是,出于安全原因,建议您仅启用TLS 1.2和TLS 1.3,因为它们提供了更好的安全性。
保存更改并退出编辑器。
检查Nginx配置文件的语法是否正确:
sudo nginx -t
如果配置正确,您将看到以下输出:
nginx: configuration file /etc/nginx/nginx.conf test is successful
sudo systemctl reload nginx
或者
sudo service nginx reload
现在,您的Nginx服务器已配置为使用指定的TLS版本。