Nginx

ngx_mail_ssl_module

Module ngx_mail_ssl_module

  • 示例配置

  • 指令

  • ssl

  • ssl_certificate

  • ssl_certificate_key

  • ssl_ciphers

  • ssl_client_certificate

  • ssl_crl

  • ssl_dhparam

  • ssl_ecdh_curve

  • ssl_password_file

  • ssl_prefer_server_ciphers

  • ssl_protocols

  • ssl_session_cache

  • ssl_session_ticket_key

  • ssl_session_tickets

  • ssl_session_timeout

  • ssl_trusted_certificate

  • ssl_verify_client

  • ssl_verify_depth

  • starttls

ngx_mail_ssl_module模块为邮件代理服务器使用SSL / TLS协议提供了必要的支持。

该模块不是默认生成的,它应该使用--with-mail_ssl_module配置参数启用。

该模块需要OpenSSL库。

示例配置

为了减轻处理器的负担,建议

  • 设置工作进程的数量等于处理器的数量,

  • 启用共享会话缓存,

  • 禁用内置会话缓存,

  • 并可能增加会话生存期(默认为5分钟):

worker_processes auto; mail { ... server { listen 993 ssl; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ... }

指令

句法:ssl on | 关闭;
默认:ssl off;
语境:邮件,服务器

为给定的服务器启用SSL / TLS协议。

句法:ssl_certificate文件;
默认:
语境:邮件,服务器

指定一个file带有给定服务器的PEM格式的证书。如果除了主要证书之外还应指定中间证书,则应按照以下顺序在同一文件中指定它们:主要证书为先,然后为中间证书。PEM格式的密钥可以放在同一个文件中。

从版本1.11.0开始,可以多次指定此指令以加载不同类型的证书,例如RSA和ECDSA:

server { listen 993 ssl; ssl_certificate example.com.rsa.crt; ssl_certificate_key example.com.rsa.key; ssl_certificate example.com.ecdsa.crt; ssl_certificate_key example.com.ecdsa.key; ... }

只有OpenSSL 1.0.2或更高版本支持不同证书的单独证书链。对于旧版本,只能使用一个证书链。

句法:ssl_certificate_key文件;
默认:
语境:邮件,服务器

指定file给定服务器的PEM格式密钥。

enginenameid可以指定代替file(1.7.9),它加载与指定的秘密密钥id从OpenSSL的发动机name

句法:ssl_ciphers密码;
默认:ssl_ciphers HIGH:!aNULL:!MD5;
语境:邮件,服务器

指定启用的密码。密码以OpenSSL库理解的格式指定,例如:

ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

完整列表可以使用“ openssl ciphers”命令查看。

以前版本的nginx默认使用不同的密码。

句法:ssl_client_certificate文件;
默认:
语境:邮件,服务器

指定file带有用于验证客户端证书的PEM格式的可信CA证书。

证书列表将发送给客户。如果不需要,可以使用ssl_trusted_certificate指令。

句法:ssl_crl文件;
默认:
语境:邮件,服务器

指定file用于验证客户端证书的PEM格式的带撤销证书(CRL)。

句法:ssl_dhparam文件;
默认:
语境:邮件,服务器

指定fileDHE密码的DH参数。

句法:ssl_ecdh_curve曲线;
默认:ssl_ecdh_curve auto;
语境:邮件,服务器

指定一个curve用于ECDHE密码。

使用OpenSSL 1.0.2或更高版本时,可以指定多条曲线(1.11.0),例如:

ssl_ecdh_curve prime256v1:secp384r1;

特殊值auto(1.11.0)指示nginx在使用OpenSSL 1.0.2或更高prime256v1版本时使用内置于OpenSSL库中的列表,或使用旧版本。

在版本1.11.0之前,prime256v1曲线默认使用。

句法:ssl_password_file文件;
默认:
语境:邮件,服务器

指定file密码的密码,其中每个密码在单独的行上指定。加载密钥时会依次尝试密码。

例:

mail { ssl_password_file /etc/keys/global.pass; ... server { server_name mail1.example.com; ssl_certificate_key /etc/keys/first.key; } server { server_name mail2.example.com; # named pipe can also be used instead of a file ssl_password_file /etc/keys/fifo; ssl_certificate_key /etc/keys/second.key; } }

句法:ssl_prefer_server_ciphers on | 关闭;
默认:ssl_prefer_server_ciphers off;
语境:邮件,服务器

指定在使用SSLv3和TLS协议时,服务器密码应优先于客户端密码。

句法:ssl_protocols SSLv2 TLSv1 TLSv1.2;
默认:ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
语境:邮件,服务器

启用指定的协议。

TLSv1.1TLSv1.2参数(1.1.13,1.0.12)的OpenSSL 1.0.1或更高时才使用工作。TLSv1.3只有在使用支持TLSv1.3的OpenSSL 1.1.1时,参数(1.13.0)才有效。

句法:ssl_session_cache off | none | 内建[:大小];
默认:ssl_session_cache无;
语境:邮件,服务器

设置存储会话参数的高速缓存的类型和大小。缓存可以是以下任何一种类型:

off严禁使用会话缓存:nginx明确告诉客户端会话可能不会被重用。none会话缓存的使用被轻轻禁止:nginx告诉客户端会话可能会被重用,但实际上并不会将会话参数存储在缓存中。builtin在OpenSSL中构建的缓存; 仅由一个工作进程使用。缓存大小在会话中指定。如果没有给出大小,则等于20480个会话。使用内置高速缓存可能导致内存碎片。shared所有工作进程之间共享的缓存。缓存大小以字节为单位指定; 一兆字节可以存储大约4000个会话。每个共享缓存都应该有一个任意名称。具有相同名称的缓存可用于多台服务器。

两种缓存类型可以同时使用,例如:

ssl_session_cache builtin:1000 shared:SSL:10m;

但只使用没有内置缓存的共享缓存应该更高效。

句法:ssl_session_ticket_key文件;
默认:
语境:邮件,服务器

file使用用于加密和解密TLS会话票据的密钥设置a 。如果必须在多个服务器之间共享相同的密钥,则该指令是必需的。默认情况下,使用随机生成的密钥。

如果指定了多个密钥,则仅使用第一个密钥来加密TLS会话票据。这允许配置密钥旋转,例如:

ssl_session_ticket_key current.key; ssl_session_ticket_key previous.key;

file必须含有80或48个字节的随机数据,并且可以使用下面的命令创建:

openssl rand 80 > ticket.key

根据文件大小,AES256(80字节密钥,1.11.8)或AES128(48字节密钥)用于加密。

句法:ssl_session_tickets在|上 关闭;
默认:ssl_session_tickets on;
语境:邮件,服务器

通过TLS会话票据启用或禁用会话恢复。

句法:ssl_session_timeout时间;
默认:ssl_session_timeout 5m;
语境:邮件,服务器

指定客户端可以重新使用会话参数的时间。

句法:ssl_trusted_certificate文件;
默认:
语境:邮件,服务器

指定file带有用于验证客户端证书的PEM格式的可信CA证书。

与由ssl_client_certificate设置的证书相比,这些证书的列表不会发送给客户端。

句法:ssl_verify_client在|上 关闭| 可选| optional_no_ca;
默认:ssl_verify_client off;
语境:邮件,服务器

启用客户端证书的验证。验证结果在认证请求的“Auth-SSL-Verify”头中传递。

optional参数请求客户端证书并验证它是否存在证书。

optional_no_ca参数请求客户端证书,但不要求它由可信CA证书进行签名。这适用于nginx外部的服务执行实际证书验证的情况。证书的内容可通过发送至认证服务器的请求访问。

句法:ssl_verify_depth数字;
默认:ssl_verify_depth 1;
语境:邮件,服务器

设置客户端证书链中的验证深度。

句法:在|上开始 关闭| 只要;
默认:开始;
语境:邮件,服务器

on允许使用STLSPOP3 STARTTLS命令和IMAP和SMTP命令; off拒绝STLSSTARTTLS命令的使用; only需要初步的TLS过渡。