Ssl 如何为nginx docker实例指定特定的密码套件?
我正在谷歌计算引擎上运行一个新构建的Ssl 如何为nginx docker实例指定特定的密码套件?,ssl,nginx,docker,lets-encrypt,discourse,Ssl,Nginx,Docker,Lets Encrypt,Discourse,我正在谷歌计算引擎上运行一个新构建的话语docker图像。我使用letsencrypt将其转换为使用https,并从中获得A+评级。但是,我使用的脚本代理不支持启用的两个TLS 1.0密码套件[TLS\u ECDHE\u RSA\u WITH_AES\u 128\u CBC\u SHA,TLS\u ECDHE\u RSA\u WITH_AES\u 256\u CBC\u SHA,我想添加开源REBOK-c.REBOK-c支持的TLS-DHE-RSA-WITH-AES-256-CBC-SHA 我已
话语
docker
图像。我使用letsencrypt
将其转换为使用https,并从中获得A+评级。但是,我使用的脚本代理不支持启用的两个TLS 1.0密码套件[TLS\u ECDHE\u RSA\u WITH_AES\u 128\u CBC\u SHA
,TLS\u ECDHE\u RSA\u WITH_AES\u 256\u CBC\u SHA
,我想添加开源REBOK-c.REBOK-c支持的TLS-DHE-RSA-WITH-AES-256-CBC-SHA
我已经修改了我的文件
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA;
到
并使用
sudo ./launcher rebuild app
但这不会改变可用的密码套件
我现在想知道我是否必须直接修改nginx.conf,不管它在哪里,而不是让话语构建脚本来做
mkdir-p容器/模板
cp-templates/web.ssl.template.yml容器/模板
containers/templates/web.ssl.template.yml
添加到app.yml
文件的templates
部分更改
/var/discussion/templates/web.ssl.template.yml
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256$RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA;
到
将支持的TLS 1.0套件更改为
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (eq. 7680 bits RSA) FS 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp384r1 (eq. 7680 bits RSA) FS 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41)
并且仍然从SSLLAB中获得A+评级。请参见(投票同意迁移)web.ssl.template.yml已在我的app.yml中,如上所述。再次添加它没有任何区别:(
ssl_ciphers 'HIGH:!aNULL:!MD5';
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (eq. 7680 bits RSA) FS 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp384r1 (eq. 7680 bits RSA) FS 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41)