Nginx SSL如何配置ECDHE

在Nginx中配置ECDHE（椭圆曲线Diffie-Hellman永久密钥交换）以增强SSL/TLS连接的安全性，可以按照以下步骤进行：

1. 生成或获取ECDHE密钥对：

   • 你可以使用OpenSSL生成ECDHE密钥对。

   openssl ecparam -genkey -name secp384r1 -out ecdhe-key.pem
   openssl req -new -x509 -days 365 -key ecdhe-key.pem -out ecdhe-cert.pem
   

2. 配置Nginx：

   • 编辑Nginx配置文件（通常是/etc/nginx/nginx.conf或/etc/nginx/sites-available/default）。
   • 在server块中添加或修改SSL配置，确保使用ECDHE密钥交换算法。

以下是一个示例配置：

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/your/fullchain.pem;
    ssl_certificate_key /path/to/your/privkey.pem;

    # 强制使用TLSv1.2和TLSv1.3
    ssl_protocols TLSv1.2 TLSv1.3;

    # 启用ECDHE密钥交换
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

    # 启用OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 启用HSTS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 其他配置...
}

解释

• ssl_certificate 和 ssl_certificate_key：指定SSL证书和私钥的路径。
• ssl_protocols：指定支持的TLS协议版本，这里只启用TLSv1.2和TLSv1.3。
• ssl_ciphers：指定使用的加密套件，确保包含ECDHE相关的加密套件。
• ssl_stapling 和 ssl_stapling_verify：启用OCSP Stapling以提高性能和安全性。
• resolver 和 resolver_timeout：配置DNS解析器以提高OCSP Stapling的性能。
• add_header Strict-Transport-Security：启用HSTS以强制浏览器始终通过HTTPS访问。

注意事项

• 确保你的Nginx版本支持ECDHE和TLSv1.2/TLSv1.3。
• 定期更新你的SSL证书和密钥。
• 监控和测试你的SSL配置以确保其安全性和性能。

通过以上步骤，你可以在Nginx中成功配置ECDHE以增强SSL/TLS连接的安全性。