Lighttpd 配置https證書並達到檢查網站A級
該方法可以在以下網站的檢測中達到A級,更新於2020年5月20日
https://wosign.ssllabs.com/
https://myssl.com/ssl.html
1、準備工作
lighttpd需要nginx版本的證書,包括兩個文件:.key和.pem
輸入lighttpd -v命令,查看lighttpd是否支持ssl,版本信息中含有(ssl)字樣就說明支持ssl。如果沒有ssl,自行查詢相關資料
2、使用原始證書生成server.pem
mkdir -p /etc/lighttpd/cert
#將證書文件和祕鑰文件放到該目錄下
chown -R lighttpd:lighttpd /etc/lighttpd/cert
cd /etc/lighttpd/cert
cat xxxx.key xxxx.pem > server.pem
3、配置lighttpd
# hosts
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/cert/server.pem"
ssl.cipher-list = "ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE"
ssl.honor-cipher-order = "enable"
ssl.disable-client-renegotiation = "enable"
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
ssl.use-compression = "disable"
ssl.openssl.ssl-conf-cmd = ("Protocol" => "-ALL, TLSv1.2")
$HTTP["host"] == "xxxx.com" {
}
}
重點在ssl.cipher-list支持安全協議,ssl.openssl.ssl-conf-cmd僅使用TLSv1.2協議