Youtube视频


Nginx配置样例

server {
  listen 443 ssl;
  http2 on;
  server_name example.idev.dev;
  
  ssl_protocols TLSv1.2 TlSv1.3;
  ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:!aNULL';
  ssl_prefer_server_ciphers on;
  ssl_session_cache shared:SSL:20m;
  ssl_session_timeout 1d;
  ssl_stapling on;
  ssl_stapling_verify on;
  
  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
  add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' https://cdn.xxx.com";
}

server {
    listen 80;
    server_name example.idev.dev;

    location / {
        return 301 https://$host$request_uri;
    }
}

CAA

Certification Authority Authorization,认证机构授权。用于控制哪些证书颁发机构(CA)可以为您的域名颁发SSL/TLS证书的方式

  • 结构:子域名 标志 标记 值

    • 子域名:省略代表整个域名生效
    • 标志:指定0代表允许CA颁发任何类型的证书
    • 标记:issue或者issuewild,issue表示允许颁发普通证书,issuewild表示允许颁发通配符证书。所以一般会添加两条记录
    • :指定CA机构颁发证书的根域名

  • 0 issue "pki.goog"

    • 0 ,代表允许CA颁发任何类型的证书
    • issue,表示要现在哪个CA可以颁发证书,后面指定CA机构颁发证书的域名
    • "pki.goog",表示允许Google Public CA颁发证书

  • 0 issuewild "pki.goog"

    • 0 ,代表允许CA颁发任何类型的证书
    • issuewild,表示要现在哪个CA可以颁发证书,后面指定CA机构颁发证书的域名
    • "pki.goog",表示允许Google Public CA颁发证书

  • 常见CA机构的根域名

    • Let's Encrypt:

      • 根域名:letsencrypt.org

    • DigiCert (包括Symantec、GeoTrust 和 Thawte):

      • 根域名:digicert.com

    • GlobalSign:

      • 根域名:globalsign.com

    • Comodo (现在是Sectigo):

      • 根域名:sectigo.com

    • GoDaddy:

      • 根域名:godaddy.com

    • Entrust:

      • 根域名:entrust.com

    • RapidSSL:

      • 根域名:rapidssl.com

    • Network Solutions:

      • 根域名:networksolutions.com

    • Amazon Web Services (AWS):

      • 根域名:amazontrust.com
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏