Example Configuration

worker_processes auto;
stream {
    server {
        listen              12345 ssl;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;
  
Directives

  
使用给定服务器的 PEM 格式的证书指定file。如果除主要证书之外还应指定中间证书，则应按以下顺序在同一文件中指定它们：首先是主要证书，然后是中间证书。 PEM 格式的密钥可以放置在同一文件中。
  
从 1.11.0 版开始，可以多次指定此伪指令以加载不同类型的证书，例如 RSA 和 ECDSA：
  
server {
    listen              12345 ssl;
    ssl_certificate     example.com.rsa.crt;
    ssl_certificate_key example.com.rsa.key;
    ssl_certificate     example.com.ecdsa.crt;
    ssl_certificate_key example.com.ecdsa.key;
    
仅 OpenSSL 1.0.2 或更高版本支持不同证书的单独证书链。对于较旧的版本，只能使用一个证书链。
  
从 1.15.9 版开始，使用 OpenSSL 1.0.2 或更高版本时，可以在file名称中使用变量：
  
ssl_certificate     $ssl_server_name.crt;
ssl_certificate_key $ssl_server_name.key;
  
请注意，使用变量意味着每次 SSL 握手都会加载一个证书，这可能会对性能产生负面影响。
  
可以指定值data：$variable而不是file(1.15.10)，后者从变量加载证书而不使用中间文件。请注意，对此语法的不当使用可能会带来安全隐患，例如将密钥数据写入error log。
  
使用给定服务器的 PEM 格式的密钥指定file。
  
可以指定值engine：name：id而不是file，后者从 OpenSSL 引擎name加载具有指定id的密钥。
  
可以指定值data：$variable而不是file(1.15.10)，后者从变量加载 Secret 密钥，而无需使用中间文件。请注意，对此语法的不当使用可能会带来安全隐患，例如将密钥数据写入error log。
  
从 1.15.9 版开始，使用 OpenSSL 1.0.2 或更高版本时，可以在file名称中使用变量。
  
指定启用的密码。密码以 OpenSSL 库可以理解的格式指定，例如：
  
ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  
可以使用“ openssl ciphers”命令查看完整列表。
  
为 ECDHE 密码指定curve。
  
使用 OpenSSL 1.0.2 或更高版本时，可以指定多条曲线(1.11.0)，例如：
  
ssl_ecdh_curve prime256v1:secp384r1;
  
特殊值auto(1.11.0)指示 nginx 在使用 OpenSSL 1.0.2 或更高版本或prime256v1(对于较旧的版本)时使用 OpenSSL 库中内置的列表。
    
在 1.11.0 版之前，默认情况下使用prime256v1曲线。
        # named pipe can also be used instead of a file
        ssl_password_file /etc/keys/fifo;
        ssl_certificate_key /etc/keys/second.key;
   
所有工作进程之间共享的缓存。缓存大小以字节为单位；一兆字节可以存储大约 4000 个会话。每个共享缓存应具有任意名称。具有相同名称的缓存可以在多个服务器中使用。
  
两种缓存类型可以同时使用，例如：
  
ssl_session_cache builtin:1000 shared:SSL:10m;
  
但仅使用共享缓存而不使用内置缓存应该会更有效率。
  
设置带有用于加密和解密 TLS 会话票证的密钥的file。如果必须在多个服务器之间共享同一密钥，则该指令是必需的。默认情况下，使用随机生成的密钥。
  
如果指定了多个密钥，则仅第一个密钥用于加密 TLS 会话票证。这允许配置键旋转，例如：
  
ssl_session_ticket_key current.key;
ssl_session_ticket_key previous.key;
  
file必须包含 80 或 48 个字节的随机数据，并且可以使用以下命令创建：
  
openssl rand 80 > ticket.key
  
根据文件大小，使用 AES256(对于 80 字节密钥为 1.11.8)或 AES128(对于 48 字节密钥)进行加密。
  
该指令出现在 1.11.8 版本中。
  
启用客户端证书的验证。验证结果存储在$ssl_client_verify变量中。如果在客户端证书验证期间发生错误，或者客户端未提供所需的证书，则连接将关闭。
  
optional参数请求客户端证书，并验证该证书是否存在。
  
optional_no_ca参数请求客户端证书，但不需要由受信任的 CA 证书对其进行签名。这用于在 nginx 外部的服务执行实际证书验证的情况下使用。证书的内容可通过$ssl_client_cert变量访问。
  
 $ssl_client_verify

   
如果不存在证书，则返回客户端证书验证的结果(1.11.8)：“ SUCCESS”，“ FAILED: reason”和“ NONE”；
  
 $ssl_curves

   
返回客户端支持的曲线列表(1.11.7)。已知曲线按名称列出，未知曲线以十六进制显示，例如：
  
0x001d:prime256v1:secp521r1:secp384r1
    
仅当使用 OpenSSL 1.0.2 或更高版本时才支持该变量。在旧版本中，变量值将为空字符串。
    
该变量仅适用于新会话。
  
 $ssl_protocol

   
返回已构建的 SSL 连接的协议；
  
 $ssl_server_name

   
返回通过SNI请求的服务器名称；
  
 $ssl_session_id

   
返回已构建的 SSL 连接的会话标识符；
  
 $ssl_session_reused

   
如果重新使用 SSL 会话，则返回“ r”，否则返回“ .”。