服務(wù)器

本文介紹以 BoringSSL 作為 Nginx 加密庫(kù)的配置方法。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名與空間、網(wǎng)頁(yè)空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、安達(dá)網(wǎng)站維護(hù)、網(wǎng)站推廣。

BoringSSL 是由谷歌從 Openssl 中抽出來(lái)后獨(dú)立發(fā)展的作品，是 Google、Cloudflare 等大牌的御用。

BoringSSL 有優(yōu)點(diǎn)也有缺點(diǎn)：優(yōu)點(diǎn)是它原生提供 加密算法等價(jià)組 （具體我之后會(huì)寫(xiě)文章介紹）支持，并且對(duì) tls1.3-draft23 支持較為不錯(cuò)；而缺點(diǎn)是不能在 Nginx 下啟用 tls1.3 協(xié)議，且 BoringSSL 自身容易編譯失敗。

本文介紹使用 BoringSSL 替代 Openssl 作為 Nginx 加密庫(kù)的方式。

BoringSSL

首先你需要把 BoringSSL 編譯出來(lái)。建議編譯所用主機(jī)配置 2G 及以上內(nèi)存，因?yàn)?cmake 相當(dāng)消耗內(nèi)存。以下步驟可能比較多，請(qǐng)按順序一步步執(zhí)行：

# 建立一個(gè)目錄，我們的工作都在這里進(jìn)行
mkdir -p /home/nginx-installation && cd /home/nginx-installation

# 安裝編譯所需依賴
# BoringSSL 需要 Golang 支持
apt-get install -y build-essential make cmake golang

# 把 BoringSSL 源碼克隆下來(lái)
git clone --dep 1 https://boringssl.googlesource.com/boringssl && cd boringssl

# 編譯開(kāi)始
mkdir -p /home/nginx-installation/boringssl/build /home/nginx-installation/boringssl/.openssl/lib /home/nginx-installation/boringssl/.openssl/include
ln -sf /home/nginx-installation/boringssl/include/openssl /home/nginx-installation/boringssl/.openssl/include/openssl
touch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.h
cmake -B/home/nginx-installation/boringssl/build -H/home/nginx-installation/boringssl
make -C /home/nginx-installation/boringssl/build
cp /home/nginx-installation/boringssl/build/crypto/libcrypto.a /home/nginx-installation/boringssl/build/ssl/libssl.a /home/nginx-installation/boringssl/.openssl/lib

以上步驟完成后，就先把 BoringSSL 編譯完成了。接下來(lái)要用 --with-openssl 把它提供給 Nginx 使用。

Nginx

使用以下參數(shù)來(lái)編譯 Nginx：

# 使用 --with-openssl 指定 BoringSSL 路徑
# 這里并沒(méi)有變成 --with-boringssl
./configure ... --with-openssl=/home/nginx-installation/boringssl

# 在 configure 后，要先 touch 一下，才能繼續(xù) make
touch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.h

make
make install

把 Nginx 編譯出來(lái)后，查看參數(shù)你會(huì)看到：

sudo nginx -V

built by gcc 4.9.2 (Debian 4.9.2)
built with OpenSSL 1.1.0 (conpatible: BoringSSL) (running with BoringSSL)
TLS SNI support enabled

發(fā)現(xiàn)了嗎？里面耀眼的 BoringSSL 字樣。

Cipher Suite

雖說(shuō)把 OpenSSL 換成了 BoringSSL，其實(shí)加密套件的寫(xiě)法還是差不多一樣的。你可以這樣寫(xiě)：

復(fù)制代碼代碼如下:
ssl_ciphers \'ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256\';

當(dāng)然，如果你想用上 BoringSSL 的 等價(jià)組 特性的話，可以改成這樣：

復(fù)制代碼代碼如下:
ssl_ciphers \'[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305] ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256\';

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持創(chuàng)新互聯(lián)。

當(dāng)前標(biāo)題：Nginx啟用BoringSSL的配置方法
鏈接地址：http://m.rwnh.cn/article16/cgedgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、云服務(wù)器、網(wǎng)站設(shè)計(jì)、動(dòng)態(tài)網(wǎng)站、服務(wù)器托管、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)