SEARCH

LNMP1.5升级支持TLS 1.3 (draft 28),Nginx启用TLS 1.3

2018年08月05日

截止到现在 TLS 1.3 协议仍然处于草案阶段,最新的 RFC 文档是 draft 28,对于大型系统来说,目前并不建议部署,当然对于个人网站来说,可以部署 TLS 1.3 版本 。


最近TLS 1.3 相对于之前的版本,主要有两大优势:Enhanced security: 安全性增强 ,Improved speed:速度提升。


Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。


要想让LNMP1.5正式版提前支持TLS 1.3,我们需要升级一下Nginx, OpenSSL,目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本,最新的 OpenSSL 1.1.1-pre5 支持 TLS 1.3 draft 26。


1372059274.jpeg


升级OpenSSL:

执行下载安装,输出 draft 23


#升级OpenSSL

$ wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1-pre1.tar.gz && tar zxf openssl-1.1.1-pre1.tar.gz && cd openssl-1.1.1-pre1

#输出 draft 23

$ grep TLS1_3_VERSION_DRAFT_TXT ./* -R

$ make

$ make install


升级Nginx:

查询版本Nginx版本,低于1.13.0版本,请升级到1.13.8


#查询版本号

$ nginx -v

#使用Lnmp只带功能升级Nginx

$ ./upgrade.sh nginx

#填写推荐版本号 1.13.8


Nginx升级为平滑升级,升级过程不影响nginx的运行。


启用TLSv1.3支持,添加TLSv1.3协议:

修改lnmp.conf文件


Nginx_Modules_Options='--with-threads --with-openssl=**/root/lnmp1.5/src/openssl-master** --with-openssl-opt    ='enable-tls1_3''

#/root/lnmp1.5/src/openssl为路径

Enable_Nginx_Openssl='n'
Enable_PHP_Fileinfo='n'
Enable_Nginx_Lua='n'


修改nginx.conf文件


ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

#推荐关闭TLSv1.0

ssl_ciphers  TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;

#套件


搞定,融网小编友情提示新手请记得快照或者备份好再去尝试,出错概不负责!

Contact

大同市城区西环路168号

致力于做服务最好的网站建设公司

将 " 策划+创意+体验+技术 " 完美融合 !

Wechat

微信公众号