我使用 qualsys ssl page ( 评估了我服务器的 SSL 凭证https://www.ssllabs.com/ssldb/index.html),发现“SSL 2.0+升级支持”条目标记为是。我也想禁用此sslv2握手。我四处搜索,发现http://forum.nginx.org/read.php?2,104032米,它指向创建一个 openssl.cnf 文件。
这里有一个简单的问题。创建文件后,是否需要重新输入证书才能正常工作?还有其他步骤要遵循吗?
我使用 nginx 1.0.11 和 openssl “OpenSSL 1.0.0e-fips 6 Sep 2011”。我已将 nginx 中的 ssl_ciphers 设置为 SSLv3 TLSv1;
答案1
您的证书将起作用。openssl.cnf通常已存在于系统中,因此您需要编辑一个。其位置取决于您使用的发行版/服务器版本。例如,如果您使用的是 Linux/Debian,则它位于 /etc/ssl。但是,如果您从源代码编译了 OpenSSL,则该位置将位于--sysconfdir(configure通常为--prefix+ /etc)。按照论坛上的建议对文件进行更改,然后重新启动 nginx。