如何让Nginx快速支持TLS1.3协议详解

如何让如何让Nginx快速支持快速支持TLS1.3协议详解协议详解

主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定

的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧。

前言前言

最近在看一些 TLS 协议 1.3 版本的相关知识，所以想分享一些信息，本文是第一篇，没有太多的理论细节，主要说下如何在 Nginx 上快速部署一个支

持 TLS 1.3 协议版本的网站。

TLS 1.3 优势优势

TLS 1.3 相对于之前的版本，主要有两大优势：

关于这两个版本之间的差异，后续我会写文章详细描述。

3）Nginx 底层使用的密码库是 OpenSSL，也就是说是否支持 TLS 1.3 版本，取决于 OpenSSL 库。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本，而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本，最新的 OpenSSL 1.1.1-pre5 支持 TLS 1.3 draft 26。

这篇文章运行环境如下：

Ubuntu 14.04.5 LTS 系统

gcc version 4.8.4

Nginx nginx1.13.5

openssl1.1.1

如果大家在具体安装的时候，遇到各类问题，可能和软件版本、系统环境有关，需要查看手册或者在线 Google。

安装安装 OpenSSL

$ grep TLS1_3_VERSION_DRAFT_TXT ./* -R

# 输出 draft 23

./include/openssl/tls1.h:# define TLS1_3_VERSION_DRAFT_TXT "TLS 1.3 (draft 23)"

$ ./config --prefix=/usr/local/openssl1.1.1 --openssldir=/usr/local/openssl1.1.1 --libdir=lib shared -Wl,-R,'$(LIBRPATH)' -Wl,--enable-new-dtags enable-ec_nistp_64_gcc_128 enable-tls1_3

$ make

$ make install

在这个版本中，默认已经启用 TLS 1.3 ，所以不加 enable-tls1_3 参数也可以

OpenSSL 命令行工具和各类包、证书文件都保存在 /usr/local/openssl1.1.1 目录下。

该版本对应的 TLS 1.3 版本是 draft 23。

安装完成后，可以使用命令行工具了解相关 TLS 1.3 信息。

安装安装 Nginx

Nginx 支持 TLS 1.3 版本，指定 OpenSSL 库即可，运行命令如下：

$ cd /root

$ wget http://nginx.org/download/nginx-1.13.5.tar.gz

$ wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.41.tar.gz

$ tar xvf pcre-8.41.tar.gz

$ tar xvf nginx-1.13.5.tar.gz