Centos 7 - 无虚拟主机的 SSL

Centos 7 - 无虚拟主机的 SSL

所以经过很多很多小时,我终于设法修复/重新安装了整个 VPS,真的费尽心机。

现在最后一步是设置 SSL - 非常小心,因为我认为,上次我在这里搞砸了,使用虚拟主机等。这是我第一次使用服务器,所以谷歌是我的开发/调试/等等,但现在我太害怕按照这些步骤去做了。

所以我想问一下更有经验的用户,如何设置 SSl [没有虚拟主机]。

非常感谢!!

迈克尔

答案1

应用加密强化指南为您提供所有常见网络服务器的安全示例配置。

为了阿帕奇 这表明vhost 配置如下:

SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
#SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off

Header always set Strict-Transport-Security "max-age=15768000"      
# Strict-Transport-Security: "max-age=15768000 ; includeSubDomains" 

Header always set Public-Key-Pins "pin-sha256=\"YOUR_HASH=\"; pin-sha256=\"YOUR_BACKUP_HASH=\"; max-age=7776000; report-uri=\"https://YOUR.REPORT.URL\"" 
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA'

建议nginx 设置是:

ssl on;
ssl_certificate cert.pem;
ssl_certificate_key cert.key;

ssl_session_timeout 5m;

ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # not possible to do exclusive
ssl_ciphers 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA';
add_header Strict-Transport-Security "max-age=15768000"; # six months
# add_header Strict-Transport-Security "max-age=15768000; includeSubDomains"; 

相关内容