Nginx升级ssl版本

Nginx升级ssl版本

• 升级openSSL 版本到 1.0.1+
  官方上面推荐大家将OpenSSL升级到 OpenSSL 1.0.1g 。
• 查看ssl版本
  openssl version
  #OpenSSL 1.0.0-fips 29 Mar 2010
• 下载源包
  wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
• 解压源包
  tar -zxvf openssl-1.0.1g.tar.gz
• 进入源包路径
  cd openssl-1.0.1g
• 更新ssl版本
  ./config shared zlib
• 编译ssl
  make && make install
• 修改历史的OpenSSL文件设置备份
  mv /usr/bin/openssl /usr/bin/openssl.old
  mv /usr/include/openssl /usr/include/openssl.old
• 设置软连接使其使用新的OpenSSL版本 刚刚安装的OpenSSL默认安装在/usr/local/ssl
  ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
  ln -s /usr/local/ssl/include/openssl /usr/include/openssl
• 更新动态链接库数据
  echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
  ldconfig -v
• 我们再来看看OpenSSL版本信息.
  openssl version
• 验证ssl版本信息
  OpenSSL 1.0.1g 7 Apr 2014
  如果是1.0.1g，说明你安装正确了。
• 重新编译nginx，不然nginx对应的openssl还是老的版本
• 编译nginx配置
  ./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-openssl=/WEB/nginx/openssl-1.0.1g
• 编译nginx
  make
• 修改/usr/local/nginx/conf/nginx.conf，增加下述配置
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:-LOW:!aNULL:!eNULL;
• 重启nginx
  /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf