文章讲述了如何通过启用TLS1.2和TLS1.3,特别是默认开启TLS1.3并指定加密算法来增强证书的加密安全性。提供了阿里云NginxIngressController的配置示例,包括ssl-ciphers和ssl-protocols的设置,并提到了使用openssl进行连接验证以及通过浏览器检查配置效果的方法。
说明
为了提高证书的加密安全,启用TLS1.2 TLS1.3,默认开启TLS1.3并指定加密算法
阿里云文档地址:
ingress配置文件
ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA"
ssl-protocols: "TLSv1.2 TLSv1.3"新增如上两个配置,并重启nginx-ingress服务
验证方法
openssl验证
openssl s_client -connect <host>:<port>
# host和port都是你主机的端口或者是你负载均衡SLB的IP和端口浏览器验证
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
