Nginx 启用 BoringSSL的配置方法

本文介绍以 BoringSSL 作为 Nginx 加密库的配置方法。

BoringSSL 是由谷歌从 Openssl 中抽出来后独立发展的作品,是 Google、Cloudflare 等大牌的御用。

BoringSSL 有优点也有缺点:优点是它原生提供 加密算法等价组 (具体我之后会写文章介绍)支持,并且对 tls1.3-draft23 支持较为不错;而缺点是不能在 Nginx 下启用 tls1.3 协议,且 BoringSSL 自身容易编译失败。

本文介绍使用 BoringSSL 替代 Openssl 作为 Nginx 加密库的方式。

BoringSSL

首先你需要把 BoringSSL 编译出来。建议编译所用主机配置 2G 及以上内存,因为 cmake 相当消耗内存。以下步骤可能比较多,请按顺序一步步执行:

# 建立一个目录,我们的工作都在这里进行
mkdir -p /home/nginx-installation && cd /home/nginx-installation

# 安装编译所需依赖
# BoringSSL 需要 Golang 支持
apt-get install -y build-essential make cmake golang

# 把 BoringSSL 源码克隆下来
git clone --dep 1 https://boringssl.googlesource.com/boringssl && cd boringssl

# 编译开始
mkdir -p /home/nginx-installation/boringssl/build /home/nginx-installation/boringssl/.openssl/lib /home/nginx-installation/boringssl/.openssl/include
ln -sf /home/nginx-installation/boringssl/include/openssl /home/nginx-installation/boringssl/.openssl/include/openssl
touch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.h
cmake -B/home/nginx-installation/boringssl/build -H/home/nginx-installation/boringssl
make -C /home/nginx-installation/boringssl/build
cp /home/nginx-installation/boringssl/build/crypto/libcrypto.a /home/nginx-installation/boringssl/build/ssl/libssl.a /home/nginx-installation/boringssl/.openssl/lib

以上步骤完成后,就先把 BoringSSL 编译完成了。接下来要用 --with-openssl 把它提供给 Nginx 使用。

Nginx

使用以下参数来编译 Nginx:

# 使用 --with-openssl 指定 BoringSSL 路径
# 这里并没有变成 "--with-boringssl"
./configure ... --with-openssl=/home/nginx-installation/boringssl

# 在 configure 后,要先 touch 一下,才能继续 make
touch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.h

make
make install

把 Nginx 编译出来后,查看参数你会看到:

sudo nginx -V

built by gcc 4.9.2 (Debian 4.9.2)
built with OpenSSL 1.1.0 (conpatible: BoringSSL) (running with BoringSSL)
TLS SNI support enabled

发现了吗?里面耀眼的 BoringSSL 字样。

Cipher Suite

虽说把 OpenSSL 换成了 BoringSSL,其实加密套件的写法还是差不多一样的。你可以这样写:

代码如下:

ssl_ciphers  'ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256';

当然,如果你想用上 BoringSSL 的 等价组 特性的话,可以改成这样:

代码如下:

ssl_ciphers  '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305] ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256';

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Nginx 启用 BoringSSL的配置方法

    本文介绍以 BoringSSL 作为 Nginx 加密库的配置方法. BoringSSL 是由谷歌从 Openssl 中抽出来后独立发展的作品,是 Google.Cloudflare 等大牌的御用. BoringSSL 有优点也有缺点:优点是它原生提供 加密算法等价组 (具体我之后会写文章介绍)支持,并且对 tls1.3-draft23 支持较为不错:而缺点是不能在 Nginx 下启用 tls1.3 协议,且 BoringSSL 自身容易编译失败. 本文介绍使用 BoringSSL 替代 Ope

  • Nginx下ThinkPHP5的配置方法详解

    本文主要给大家介绍了关于Nginx下ThinkPHP5的配置方法,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍: url里public目录的隐藏 出于安全的考虑,TP5的入口文件改成放在public下了,因为这样的话能防止被恶意用户访问到"/thinkphp/"."/vendor/"等等这些目录下的文件.所以当你以之前的习惯将网站documentroot配置为项目根目录的时候就会需要在url后面加上/public/来访问.当然可能也会有童鞋把入口文件放

  • Nginx启用proxy_cache缓存的方法

    顾名思义,proxy_cache 是用于 proxy 模式(一般也可称为反代)的缓存功能.本文介绍其基本用法. proxy_cache 在 Nginx 配置的 http 段.server 段(location 段)中分别写入不同的配置.http 段中的配置用于定义 proxy_cache 空间,server 段中的配置用于调用 http 段中的定义,启用对 server 的缓存功能. http 段 直接以本站的配置为例: proxy_cache_path /home/nginx/proxy_ca

  • linux下Nginx+Tomcat负载均衡配置方法

    Nginx+tomcat是目前主流的java web架构,如何让nginx+tomcat同时工作呢,也可以说如何使用nginx来反向代理tomcat后端均衡呢?直接安装配置如下: 1.JAVA JDK安装: #下载相应的jdk软件包,然后解压安装,我这里包名称为:jdk-7u25-linux-x64.tar.gz tar -xzf jdk-7u25-linux-x64.tar.gz ;mkdir -p /usr/java/ ;mv jdk1.7.0_25/ /usr/java/ 下. #然后配置

  • 在Nginx服务器中启用SSL的配置方法

    生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: $ cd /usr/local/nginx/conf 创建服务器私钥,命令会让你输入一个口令: $ openssl genrsa -des3 -out server.key 1024 创建签名请求的证书(CSR): $ openssl req -new -key server.key -out server.csr 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: $ cp server.ke

  • 简介Nginx服务器的Websockets配置方法

    Nginx 1.3.13 已经发布了,该版本支持 Connection: upgrade 和 Upgrade 头,这就意味着支持WebSocket代理了.很多人都在等这个新特性以至于 "Nginx 支持 websockets 吗?" 成为了 freenode上的#nginx频道最常问的问题. 有了这种方式,让我们来看看Nginx的WebSocket实现. Nginx新添加的Websockets配置指令 文档中提到的配置如下:(译者注:原文中的链接其实不是文档的链接.现在nginx的官方

  • Nginx配置文件nginx.conf的常用配置方法

    Nginx使 用有两三年了,现在经常碰到有新用户问一些很基本的问题,我也没时间一一回答,今天下午花了点时间,结合自己的使用经验,把Nginx的主要配置参数说明 分享一下,也参考了一些网络的内容,这篇是目前最完整的Nginx配置参数中文说明了.更详细的模块参数请参 考:http://wiki.nginx.org/Main 复制代码 代码如下: #定义Nginx运行的用户和用户组 user www www; #nginx进程数,建议设置为等于CPU总核心数. worker_processes 8;

  • Nginx+Windows负载均衡配置方法

    一.下载Nginx http://nginx.org/download/nginx-1.2.5.zip 解压到C:\nginx目录下 二.在两台服务器上分别建一个网站: S1:192.168.16.35:8054 S2:192.168.16.16:8089 二.找到目录 C:\nginx\conf\nginx.conf 打开nginx.conf 配置如下: 复制代码 代码如下: #使用的用户和组,window下不指定 #user nobody; #指定工作衍生进程数(一般等于CPU总和数或总和数

  • nginx status状态页配置方法和中文说明

    nginx和php-fpm一样内建了一个状态页,对于想了解nginx的状态以及监控nginx非常有帮助.为了后续的监控,我们需要先了解nginx状态页是怎么回事. 1. 启用nginx status配置 在默认主机里面加上location或者你希望能访问到的主机里面. 复制代码 代码如下: server {     listen  *:80 default_server;     server_name _;     location /ngx_status     {         stub

  • Nginx启用gzip压缩的方法示例

    在服务器完成了一些配置以后,还需要做的一件事:启用gzip来压缩返回的数据,从而来加快网站的加载速度. 以下为在Nginx上启用gzip的相关配置(将其添加到配置文件即可): # 开启gzip gzip on; # 启用gzip压缩的最小文件,小于设置值的文件将不会压缩 gzip_min_length 1k; # gzip 压缩级别,1-10,数字越大压缩的越好,也越占用CPU时间. gzip_comp_level 2; # 进行压缩的文件类型. gzip_types text/plain te

随机推荐