Nginx 啟用 BoringSSL的配置方法

發(fā)布時間：2024-07-09

服務器
本文介紹以 boringssl 作為 nginx 加密庫的配置方法。
boringssl 是由谷歌從 openssl 中抽出來后獨立發(fā)展的作品，是 google、cloudflare 等大牌的御用。
boringssl 有優(yōu)點也有缺點：優(yōu)點是它原生提供 加密算法等價組 （具體我之后會寫文章介紹）支持，并且對 tls1.3-draft23 支持較為不錯；而缺點是不能在 nginx 下啟用 tls1.3 協(xié)議，且 boringssl 自身容易編譯失敗。
本文介紹使用 boringssl 替代 openssl 作為 nginx 加密庫的方式。
boringssl
首先你需要把 boringssl 編譯出來。建議編譯所用主機配置 2g 及以上內存，因為 cmake 相當消耗內存。以下步驟可能比較多，請按順序一步步執(zhí)行：
# 建立一個目錄，我們的工作都在這里進行mkdir -p /home/nginx-installation && cd /home/nginx-installation# 安裝編譯所需依賴# boringssl 需要 golang 支持apt-get install -y build-essential make cmake golang# 把 boringssl 源碼克隆下來git clone --dep 1 https://boringssl.googlesource.com/boringssl && cd boringssl# 編譯開始mkdir -p /home/nginx-installation/boringssl/build /home/nginx-installation/boringssl/.openssl/lib /home/nginx-installation/boringssl/.openssl/includeln -sf /home/nginx-installation/boringssl/include/openssl /home/nginx-installation/boringssl/.openssl/include/openssltouch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.hcmake -b/home/nginx-installation/boringssl/build -h/home/nginx-installation/boringsslmake -c /home/nginx-installation/boringssl/buildcp /home/nginx-installation/boringssl/build/crypto/libcrypto.a /home/nginx-installation/boringssl/build/ssl/libssl.a /home/nginx-installation/boringssl/.openssl/lib以上步驟完成后，就先把 boringssl 編譯完成了。接下來要用 –with-openssl 把它提供給 nginx 使用。
nginx
使用以下參數(shù)來編譯 nginx：
# 使用 --with-openssl 指定 boringssl 路徑# 這里并沒有變成 --with-boringssl./configure ... --with-openssl=/home/nginx-installation/boringssl# 在 configure 后，要先 touch 一下，才能繼續(xù) maketouch /home/nginx-installation/boringssl/.openssl/include/openssl/ssl.hmakemake install把 nginx 編譯出來后，查看參數(shù)你會看到：
sudo nginx -vbuilt by gcc 4.9.2 (debian 4.9.2)built with openssl 1.1.0 (conpatible: boringssl) (running with boringssl)tls sni support enabled發(fā)現(xiàn)了嗎？里面耀眼的 boringssl 字樣。
cipher suite
雖說把 openssl 換成了 boringssl，其實加密套件的寫法還是差不多一樣的。你可以這樣寫：
復制代碼 代碼如下:
ssl_ciphers \\\’ecdhe-ecdsa-aes128-gcm-sha256 ecdhe-ecdsa-chacha20-poly1305 ecdhe-rsa-aes128-gcm-sha256 ecdhe-rsa-chacha20-poly1305 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-rsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256\\\’;
當然，如果你想用上 boringssl 的 等價組 特性的話，可以改成這樣：
復制代碼 代碼如下:
ssl_ciphers \\\'[ecdhe-ecdsa-aes128-gcm-sha256|ecdhe-ecdsa-chacha20-poly1305|ecdhe-rsa-aes128-gcm-sha256|ecdhe-rsa-chacha20-poly1305] ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-rsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256\\\’;
以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持西部數(shù)碼。