Ich habe gerade ein SSL-Zertifikat für meine Website gekauft und versucht, es mit meiner Nginx-Installation zum Laufen zu bringen, aber beim Herstellen der Verbindung verweigert der Browser die Verbindung mit der Website. Hier ist der relevante Teil des Vhosts:
server {
listen 80;
listen [::]:80;
server_name mysite.be www.mysite.be;
return 301 https://mysite.be$request_uri;
}
server {
listen 443 ssl spdy;
listen [::]:443 ssl spdy;
ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem;
ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # don.t use SSLv3 because of the POODLE attack
# Enable OCSP Stapling, point to certificate chain
ssl_stapling on;
ssl_stapling_verify on;
# Tell the browser we do SPDY
# add_header Alternate-Protocol 443:npn-spdy/2;
server_name mysite *.mysite.be;
[.....]
Die Konfiguration, die Sie oben sehen
Der nginx.conf-Teil:
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;
ssl_session_cache shared:SSL:32m;
ssl_buffer_size 8k;
ssl_session_timeout 10m;
Ich weiß nicht, was ich falsch gemacht habe. Ich habe viele Tutorials befolgt, um an diesen Punkt zu gelangen, und dann funktioniert es einfach nicht.
Antwort1
Die erste Serverkonfiguration ist eine Umleitung auf HTTPS (zweite Konfiguration).
In der zweiten Serverkonfiguration ist das SPDY-Modul nicht standardmäßig integriert, es sollte mit dem --with-http_spdy_moduleKonfigurationsparameter aktiviert werden. Beachten Sie, dass die verwendete OpenSSL-Bibliothek die TLS-Erweiterung „Next Protocol Negotiation“ unterstützen muss, um sowohl HTTPS- als auch SPDY-Verbindungen gleichzeitig auf demselben Port zu akzeptieren. Diese ist seit OpenSSL Version 1.0.1 verfügbar (Referenz hier).
Die zweite Serverkonfiguration würde ich folgendermaßen schreiben (PoC):
server {
listen 443;
server_name .mysite.be;
ssl on;
ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem;
ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
root [YOUR_ROOT_DIR]
...
}
Ich nginx.confwürde das ganze bezüglich SSL weglassen und es als Standard belassen.