配置很简单,但是需要注意的有:
- 应使用listen的ssl参数取代ssl on;
- cert文件应包含整个证书链,内容顺序必须是证书链的逆序,即cert文件头是本服务器的证书、中间是中间CA、最后是根CA。可以用下述命令检查
openssl s_client -connect www.example.com:443
- ssl_protocols中只能包含TLS
server { listen [::]:80; listen [::]:443 ssl; …… ssl_certificate /etc/ssl/microstructures_bundle.crt; ssl_certificate_key /etc/ssl/microstructures_org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; …… }
