前言
米饭在 15年下半年一直写的是 vobe.io 的博客,然后就废弃了。不过呢,在15年11月 vobe 就部署了 ECC 证书并且写了一篇教程。不过用了一星期以后就不用了,因为系统的兼容性真的差的可以,不过现在 Nginx 有了双证书功能,就解决了兼容性问题。
目前米饭就开启了双证书解决了这个问题。
可见,在 XP 这样的旧平台上,用的是 RapidSSL 的 RSA 证书:
在 macOS 10.12 Chrome 55 上就是 ECC 证书:
除了不支持 SNI 的平台,其他平台基本上做到了全兼容:
介绍
可用于 ECDHE 数字签名的算法主要有 RSA 和 ECDSA,也就是目前密钥交换 + 签名目前有三种主流的方式:
openssl ecparam -genkey -name secp256r1 -out mf8.biz-ecc.key
openssl req -new -sha256 -key vobe-io-ecc.key -out vobe-io-ecc.csr
openssl ecparam -out 你的域名.ecc.pkey -name secp256r1 -genkey && openssl req -new -key 你的域名.ecc.pkey -sha256 -nodes -out 你的域名.ecc.csr -subj “/C=CN/ST=省份/L=城市/O=组织/OU=组织单位/部门/分支/CN=你的域名”
acme.sh --issue -w /data/wwwroot/www.mf8.biz -d mf8.biz -d www.mf8.biz --keylength ec-256
#RSA
sslcertificate www.mf8.biz.crt;
sslcertificate_key www.mf8.biz.key;
#ECC
sslcertificate www.mf8.biz.ecc.crt;
sslcertificate_key www.mf8.biz.ecc.key;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。