我正在Google Compute Engine上运行新构建的discourse docker图片。我在walk through之后使用letsencrypt转换为使用https,我从ssllabs获得A +评分。但是我正在使用的脚本代理不支持启用[TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA]的两个TLS 1.0密码套件中的任何一个,我想添加TLS-DHE-RSA-WITH-AES-256-CBC-SHA支持的ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA;
开源的rebol3 fork ren-c。
我已经从
修改了我的web.ssl.template.yml文件ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA;
到
sudo ./launcher rebuild app
并使用
重建应用{{1}}
但这不会改变可用的cipher_suites。
我现在想知道是否必须直接改变nginx.conf,无论在哪里,而不是要求话语构建脚本来做...
答案 0 :(得分:1)
更改/var/discourse/templates/web.ssl.template.yml
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256$RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA;
到
ssl_ciphers 'HIGH:!aNULL:!MD5';
将支持的TLS 1.0套件更改为
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (eq. 7680 bits RSA) FS 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp384r1 (eq. 7680 bits RSA) FS 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41)
仍然从ssllabs获得A +评级。
答案 1 :(得分:0)
mkdir -p containers/templates
cp templates/web.ssl.template.yml containers/templates
对文件
将containers/templates/web.ssl.template.yml添加到app.yml部分中的templates文件
利润