标签 SSL 下的文章

Nginx 使用 TLS 1.3 + AES_128_GCM

记录一下调试 Nginx 使用 TLS 1.3+AES_128_GCM 时遇到的一些坑。

坑一

nginx环境中有其他站点没有启用 TLS 1.3 或者没有指定加密方式,所有站点均修改即可。

比如nginx下面有一个站只启用了 TLS 1.2,那么就算你其他站使用了 TLS 1.3,其他站也只能使用 TLS 1.2。

坑二

删除 nginx 配置里面的 ssl_prefer_server_ciphers on; 或改为 off ,才能使用 AES_128_GCM

示例:

    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    #ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    error_page 497  https://$host$request_uri;

群晖使用Docker自动更新Let's Encrypt 泛域名证书

使用docker结合群晖计划任务实现Let's Encrypt 泛域名证书自动更新,最小限度的触碰系统文件,仅/usr/syno/etc/certificate/_archive目录会被更改。
acme.sh容器随用随时下载,保持最新,用完即删除,不占用磁盘空间。

脚本只需要修改主域名和DNSapi。可选配置同步证书目录,供nginx反代使用。

- 阅读剩余部分 -