需手动指定SSL加密套件以强化HTTPS安全性,方法包括:一、宝塔SSL设置界面修改;二、手动编辑Nginx配置文件并限制TLS版本;三、通过防火墙插件统一配置;四、用OpenSSL和SSL Labs验证生效。
如果您在宝塔面板中部署网站后需要强化HTTPS安全性,需手动指定支持的SSL加密套件以规避弱算法或不兼容协议。以下是配置特定SSL加密算法的具体步骤:
一、通过宝塔面板SSL设置界面修改加密套件
该方法适用于使用Nginx作为Web服务器且已启用SSL证书的站点,直接在图形界面中编辑SSL参数,无需手动修改配置文件。
1、登录宝塔面板,进入【网站】页面,找到目标站点,点击右侧【设置】按钮。
2、在弹出窗口中切换至【SSL】选项卡,确保已成功部署有效证书并启用强制HTTPS。
3、向下滚动至【SSL配置】区域,找到【自定义SSL配置】输入框。
4、在该输入框中添加如下Nginx指令(仅保留所需加密套件):
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
5、点击【保存】按钮,系统将自动重载Nginx服务并应用新套件。
二、手动编辑Nginx站点配置文件
该方法提供最高控制精度,可完全绕过面板限制,适用于需排除TLS 1.0/1.1或禁用CBC模式等深度安全策略的场景。
1、在宝塔面板【文件】管理中,定位到路径:/www/server/panel/vhost/nginx/您的域名.conf。
2、双击打开该文件,在server块内、listen 443 ssl http2所在行下方查找ssl_ciphers指令。
3、若存在原有ssl_ciphers行,将其整行替换为:
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
4、在同级位置添加协议版本限制行:
ssl_protocols TLSv1.2 TLSv1.3;
5、保存文件后,返回【软件管理】→【Nginx】→ 点击【重载配置】按钮。
三、通过宝塔防火墙插件启用高级SSL策略
该方法依赖宝塔商业版【防火墙】插件,适用于需统一管理多站点SSL策略且具备集中审计需求的环境。
1、确认已安装并启用【宝塔防火墙】插件(专业版功能)。
2、进入【防火墙】→【SSL安全策略】→【全局策略】。
3、勾选【启用自定义加密套件】,在文本框中输入:
ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384;
4、在【禁用协议】区域取消勾选TLSv1.0与TLSv1.1,仅保留TLSv1.2和TLSv1.3。
5、点击【应用策略】,插件将自动向所有启用HTTPS的站点注入对应Nginx指令。
四、验证所配置加密算法是否生效
该步骤用于确认前述任一方法是否正确部署,避免因语法错误或服务未重载导致配置未实际启用。
1、在终端执行命令:openssl s_client -connect 您的域名:443 -tls1_2,观察输出中的Cipher字段。
2、访问 https://www.ssllabs.com/ssltest/,输入域名并运行测试。
3、在SSL Labs报告的【Configuration】→【Cipher Suites】部分,核对列出的套件是否与设定完全一致。
4、检查【Protocol Details】中显示的最低支持协议是否为TLS 1.2或TLS 1.3。
