他们是否可以在 Nginx 上获得 TLS 1.3 而无需从源代码构建

他们是否可以在 Nginx 上获得 TLS 1.3 而无需从源代码构建

目前在 redhat 7.7 生产网络服务器上运行 NGINX,我想我知道答案,但我想仔细检查一下。问题是我正在尝试让 TLS1.3 正常工作。
以下是我的会议的一部分。

ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM;
ssl_ecdh_curve secp384r1; 

我的 NGINX 版本是nginx -V

nginx version: nginx/1.16.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled    

如果我们注意到第三行,我们就会看到built with OpenSSL 1.0.2k-fips 26 Jan 2017。我开始相信这就是问题所在。

根据 yum 我安装了最新版本的 openssl 。

所以看来我需要有 openssl 1.1.1d -最新版本-(2019 年 9 月 10 日;5 个月前)并从源代码重新编译 openssl 和 NGINX。

他们有什么办法可以做到这一点,而无需从标准 Redhat yum 存储库重新编译吗?有人知道“openssl 1.1.1”和使用 openssl 1.1.1 编译的 NGINX 版本何时将被放入标准 Redhat Repo 中吗?

答案1

看起来TLS 1.3 将在 RHEL 8 中正式提供

除非其他人已经为您完成了此操作,否则要在 RHEL 7 中运行它需要重新编译openssl和 ,nginx正如您提到的那样。

你可以使用官方 Nginx Docker 容器如果我记得的话,它已经为 TLS 1.3 构建了一段时间了。

答案2

打包安装可通过NGINX-MOD(然而,这是一个订阅软件)。

它是一个稳定的 NGINX 软件包,使用最新的 OpenSSL 和一堆 Cloudflare 性能补丁进行编译。

您还可以从同一存储库安装 ModSecurity 模块、Brotli 模块和 30 多个动态模块。每个模块都有自己的包,并定期更新。

相关内容