有些ssl配置虽然浏览器上能https访问,但可能在某些设备上无法正常访问,出现证书错误等,通过ssltest进行测试,根据提示项进行修改配置。
ssltest测试网站https://www.ssllabs.com/ssltest/index.html
之前配置
server {
listen 443 ssl;
server_name xxx.com;
ssl_certificate /opt/ssl.crt;
ssl_certificate_key /opt/ssl.key;
}
通过ssltest扫描发现问题
Chain issues Incomplete
正确配置
cat ssl.crt gd_bundle-g2-g1.crt > ssl2.crt
1 把证书捆绑包文件(如gd_bundle-g2-g1.crt)追加到 SSL 证书文件后面,如
$ cat ssl.crt gd_bundle-g2-g1.crt > ssl2.crt
2 将合并后的 SSL 证书文件和密钥文件复制到 Nginx 服务器
3 修改 Nginx 配置文件,如
server {
listen 443 ssl;
server_name xxx.com;
ssl_certificate /opt/ssl2.crt;
ssl_certificate_key /opt/ssl.key;
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_prefer_server_ciphers on;
}
最终扫描结果
image.png
网友评论