请教一个nginx配置ssl ciphers没有生效的问题

白虹李李 2017-12-05 08:18:54
我由于需要做自动化,想把nginx服务器的ssl ciphers的安全性降低下去,不要使用DHE这类的Ephemeral cipher suite。

我根据网上查的资料,在nginx.conf文件里这样配置:
server {
listen 8080;
listen 443;
server_name localhost;
ssl on;
ssl_certificate ../cert/server.pem;
ssl_certificate_key ../cert/server.key;
ssl_prefer_server_ciphers On;
ssl_ciphers aRSA:!ECDHE:!EDH:!kDHE;

access_log logs/access_8080.log main;

但是client访问过去,还是按照的TSL_ECDHE_RSA_WITH_AES_265_CBC_SHA进行的连接。
我也重启过nginx,没有效果。

请问各位大侠,要怎么办,才能禁止nginx使用DHE或者EDH啊?

我在服务器上用
openssl ciphers -v 'aRSA:!ECDHE:!EDH:!kDHE'
来查看,结果如下:
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
NULL-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=None Mac=SHA256
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5
...全文
1256 2 打赏 收藏 举报
写回复
2 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
最后怎么解决的,我现在也是生效不了
  • 打赏
  • 举报
回复
我也遇到这个问题 这是我的配置文件 你看看有啥不一样的 server { listen 443 ssl; server_name www.yourdomain.com; ssl_certificate /usr/local/ssl/33iq.crt; ssl_certificate_key /usr/local/ssl/33iq_nopass.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "DHE-RSA-AES128-GCM-SHA256:AES256+EDH:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; fastcgi_param HTTPS on; fastcgi_param HTTP_SCHEME https; } 我这个重启服务就好使了
  • 打赏
  • 举报
回复
发帖
Web开发应用服务器

5630

社区成员

Web开发应用服务器相关讨论专区
社区管理员
  • 应用服务器社区
加入社区
帖子事件
创建了帖子
2017-12-05 08:18
社区公告
暂无公告