阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9836阅读
  • 4回复

或许是Nginx下SPDY配置最实际的教程

级别: 论坛版主
发帖
9349
云币
14165
— 本帖被 西秦 从 新手帮帮团 移动到本区(2015-08-31) —
介绍 ~ `xaBz0q  
引用
SPDY(读作“SPeeDY”)是 Google 开发的基于 TCP 的应用层协议,用以最小化网络延迟,提升网络速度,优化用户的网络使用体验。SPDY 并不是一种用于替代 HTTP 的协议,而是对 HTTP 协议的增强。新协议的功能包括数据流的多路复用、请求优先级以及 HTTP 报头压缩。
引用
CFLWo1  
在 SSL 层上增加一个 SPDY 会话层,以在一个 TCP 连接中实现并发流。通常的 HTTP GET 和 POST 格式仍然是一样的;然而 SPDY 为编码和传输数据设计了一个新的帧格式。流是双向的,可以在客户端和服务端启动。SPDY 旨在通过基本(始终启用)和高级(可选启用)功能实现更低的延迟。
wWVLwp4-  
F}f/cG<X  
配置 _d[4EY  
普通的 HTTPS 网站浏览会比 HTTP 网站稍微慢一些,因为需要处理加密任务,而配置了 SPDY 的 HTTPS,反而速度会比 HTTP 更快更稳定! TFQX}kr]  
证书 !Ojf9 6is  
这里是 免费和便宜 SSL 证书介绍https://www.vobe.io/archives/87),大家可以从这里购买或者申请免费的 SSL 证书,免得 Chrome 弹出红色的页面令人不悦。 \CY_nn|&g  
7f$ hg8  
|7pi9  
以后会补上证书申请的教程,记得提醒! TtWE:xE  
Web 服务器 SHAC(3o /e  
安装/编译 ;(F_2&he  
默认编译的 Nginx 并不包含 SPDY 模块,而大部分发行版的软件源管理器提供的 Nginx 也都不支持 SPDY,所以还是行下载和编译 Nginx。目前 Lnmp.org 1.2 版本;Oneinstack 等一键包编译的 Nginx 默认是支持 SPDY 的!Tengine 也是默认支持的。Apt-get /yum install nginx 的包也是默认支持 SPDY 的! l_ES $%d  
[U^@Bkh  
如果你编译的 Nginx 不支持,那么在 ./configure 中加入:--with-http_spdy_module ,如果没有 SSL 支持,还需要 --with-http_ssl_module !,(6uO%  
/c&;WlE/n  
然后 make && make install 即可。 [ T6MaP?  
配置 URo#0fV4C  
主要是配置 Nginx 的 server 块,加入 对 SPDY 。 C$<['D?8  
修改相关虚拟机的 .conf 文件,一般在 /usr/local/nginx/conf/vhost/,具体参考你的环境指导,不懂请回复。 ndXUR4  
  1. server {
  2. listen 443 ssl spdy;
  3. spdy_headers_comp 1;
  4. server_name www.vobe.io;
  5. ssl_certificate /path/to/public.crt;
  6. ssl_certificate_key /path/to/private.key;
  7. location / {
  8. add_header Alternate-Protocol 443:npn-spdy/3.1;
  9. }
  10. ```
[PhT zXt  
.H33C@  
然后通过 /usr/local/nginx/sbin/nginx -t 或者 nginx -t 来检测是否配置正确,然后重启 Nginx ,即可。 G@N-+  
检验 k-;A9!^h  
引用
spdycheck.org
(2l?~CaK  
配置进阶 7`G FtX}  
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 SPDY ,我们任然需要对 SSL 做一些安全的优化! 67{3/(`x  
ssx #\  
配置赫尔曼密钥 TwT@_~ IM  
  1. openssl dhparam -out dhparam.pem 2048 // 用 openssl 生成 2048 位的密钥,勿用在 Nginx 的配置用!
  2. ssl_dhparam /path/to/dhparam.pem; //在 .conf 中配置
:~ ; 48m  
R#\o*Ta  
?O|CY  
禁止不安全的 SSL 协议,使用安全协议 Lc?q0x^s  
{ ML)F]]  
  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
s6YnNJ,SK  
BMJsR0  
禁止已经不安全的加密算法 Ltrw)H}  
q qFN4AO  
还修复了近期的 POODLE 漏洞哟! jg3 X6/'  
R/|2s  
  1. ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
DZ*m"Bi  
.1@8rVp7  
缓解 BEAST 攻击 g4U`Qf3  
6$ \69   
  1. ssl_prefer_server_ciphers on;
$;Nw_S@  
请不要无良转载 j +u3VP  
  1. 文章来自:https://www.vobe.io/archives/114
6z3`*B  
D3 .$Vl,.  
c_Fz?R+f?K  
启用 HSTS KM&bu='L^  
}n;.E&<[  
此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可 zAA3bgaa  
  1. add_header Strict-Transport-Security max-age=15768000;
|3K]>Lio  
8oxYgj&~X  
301 跳转 4Mr)~f rc  
.EXxNB]%Y&  
80 端口跳转到 443 端口 C%T$l8$  
  1. server {
  2. listen 80;
  3. add_header Strict-Transport-Security max-age=15768000;
  4. return 301 https://www.vobe.io$request_uri;
  5. }
Q!`  
\O G`+"|L  
缓存连接凭据 hG!|ts  
  1. ssl_session_cache shared:SSL:20m;
  2. ssl_session_timeout 60m;
*T:gx:Sg/  
dkI(&/  
OCSP 缝合 sNbCOTow  
  1. ssl_stapling on;
  2. ssl_stapling_verify on;
  3. ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
  4. resolver 233.5.5.5 233.5.5.5 valid=300s;
YLkdT%  
QKt+Orz  
欢迎你的补充! (+w.?l  
/vrjg)fer  
bQBYzvd  
引用
通过 www.ssllabs.com 即可检验 HTTPS 配置的安全性和实用性!
a&)4Dv0  
s{@3G8  
=c Krp'  
本文来自:https://www.vobe.io/114 v#ERXIrf  
欢迎访问:https://www.vobe.io/ 0?/vcsO  
("T8mt[w>  
[ 此帖被ivmmff在2015-08-06 22:54重新编辑 ]
级别: 论坛版主
发帖
3414
云币
8980

只看该作者 沙发  发表于: 2015-07-26
io域名还是  https  果然高大上啊 LZ
本帖最近评分记录: 1 条评分 云币 +1
ivmmff 云币 +1 我的博客介绍是:朝气、性感的伪技术博 2015-07-26
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 板凳  发表于: 2015-07-26
我的博客介绍是:朝气、性感的伪技术博
级别: 菜鸟
发帖
98
云币
251
只看该作者 地板  发表于: 2015-11-09
Re或许是Nginx下SPDY配置最实际的教程
  学习了
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 4楼 发表于: 2015-11-09
回 3楼(瞄大人) 的帖子
下次要更新http/2了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)