把 acme.sh 安装到 nginx 容器里的好处是方便管理，能随 nginx 启动而启动

原理

主要是利用了 linuxserver/nginx 容器的 custom-cont-init.d 目录，此目录可以放自己的脚本，当容器启动时会自动运行。注意：每次启动，包括重启都会运行。

- 阅读剩余部分 -

记录一下调试 Nginx 使用 TLS 1.3+AES_128_GCM 时遇到的一些坑。

坑一

nginx环境中有其他站点没有启用 TLS 1.3 或者没有指定加密方式，所有站点均修改即可。

比如nginx下面有一个站只启用了 TLS 1.2，那么就算你其他站使用了 TLS 1.3，其他站也只能使用 TLS 1.2。

坑二

删除 nginx 配置里面的 ssl_prefer_server_ciphers on; 或改为 off ，才能使用 AES_128_GCM

示例：

    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    #ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    error_page 497  https://$host$request_uri;

nginx防盗链配置的代码，默认跳转404页面，可配置跳转图片。

#SECURITY-START 防盗链配置
location ~ .*\.(jpg|jpeg|gif|png|js|css)$
{
    expires      30d;
    access_log /dev/null;
    valid_referers none blocked *.tanst.net www.tanst.net;
    if ($invalid_referer){
       #rewrite ^/ http://ww4.sinaimg.cn/bmiddle/051bbed1gw1egjc4xl7srj20cm08aaa6.jpg;
       return 404;
    }
}
#SECURITY-END

添加到

/etc/nginx/nginx.conf

添加内容：

stream {
    upstream ssr {
        hash $remote_addr consistent;
        server 127.0.0.1:31905 weight=5 max_fails=3 fail_timeout=30s;
    }
    server {
       listen 4008;
       proxy_connect_timeout 1s;
       proxy_timeout 3s;
       proxy_pass ssr;
    }
}

监听4008，映射到127.0.0.1:31905，名字ssr。

方法如下：

server {
  listen      1234 ssl;
  server_name your.site.tld;
  ssl         on;
  ...
  error_page  497 https://$host:1234$request_uri;
  ...
}

原文：https://ma.ttias.be/force-redirect-http-https-custom-port-nginx/