模块 ngx_mail_ssl_module
该ngx_mail_ssl_module模块为邮件代理服务器使用 SSL/TLS 协议提供必要的支持。
该模块不是默认构建的,需要通过--with-mail_ssl_module
配置参数启用。
该模块需要OpenSSL 库。
配置示例
为了减少处理器负载,建议
worker_processes auto;
mail {
...
server {
listen 993 ssl;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_certificate /usr/local/nginx/conf/cert.pem;
ssl_certificate_key /usr/local/nginx/conf/cert.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
...
}
指令
| 句法: |
ssl |
|---|---|
| 默认: |
ssl off; |
| 语境: |
mail,server |
该指令在版本 1.15.0 中已过时,并在版本 1.25.1 中删除。应该使用
listenssl指令的参数来代替。
| 句法: |
ssl_certificate |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
file为给定服务器
指定PEM 格式的证书。如果除了主证书之外还应指定中间证书,则应按以下顺序在同一文件中指定它们:首先是主证书,然后是中间证书。PEM 格式的密钥可以放置在同一文件中。
从1.11.0版本开始,可以多次指定该指令来加载不同类型的证书,例如RSA和ECDSA:
server {
listen 993 ssl;
ssl_certificate example.com.rsa.crt;
ssl_certificate_key example.com.rsa.key;
ssl_certificate example.com.ecdsa.crt;
ssl_certificate_key example.com.ecdsa.key;
...
}
仅 OpenSSL 1.0.2 或更高版本支持不同证书的单独证书链。对于旧版本,只能使用一个证书链。
可以指定值
data:certificate
来代替file(1.15.10),它会在不使用中间文件的情况下加载证书。请注意,不当使用此语法可能会产生安全隐患,例如将密钥数据写入
错误日志。
| 句法: |
ssl_certificate_key |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
指定file给定服务器的 PEM 格式的密钥。
可以指定值
engine: name:id
来代替(1.7.9),后者使用
OpenSSL 引擎file指定的密钥加载密钥。
idname
可以指定值
data:key
来代替file(1.15.10),它会在不使用中间文件的情况下加载密钥。请注意,不当使用此语法可能会产生安全隐患,例如将密钥数据写入
错误日志。
| 句法: |
ssl_ciphers |
|---|---|
| 默认: |
ssl_ciphers HIGH:!aNULL:!MD5; |
| 语境: |
mail,server |
指定启用的密码。密码以 OpenSSL 库可以理解的格式指定,例如:
ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
可以使用“ ”命令查看完整列表openssl ciphers。
以前版本的 nginx 默认 使用不同的密码。
| 句法: |
ssl_client_certificate |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在版本 1.7.11 中。
指定file具有 PEM 格式的可信 CA 证书,用于验证客户端证书。
证书列表将发送给客户。如果不需要, 可以使用 ssl_trusted_certificate指令。
| 句法: |
ssl_conf_command |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在版本 1.19.4 中。
设置任意 OpenSSL 配置 命令。
使用 OpenSSL 1.0.2 或更高版本时支持该指令。
ssl_conf_command可以在同一级别上指定
多个指令:
ssl_conf_command Options PrioritizeChaCha; ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;
当且仅当当前级别上没有ssl_conf_command定义任何指令时,这些指令才会从先前的配置级别继承。
请注意,直接配置 OpenSSL 可能会导致意外行为。
| 句法: |
ssl_crl |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在版本 1.7.11 中。
指定filePEM 格式的已撤销证书 (CRL),用于验证
客户端证书。
| 句法: |
ssl_dhparam |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在 0.7.2 版本中。
指定fileDHE 密码的 DH 参数。
默认情况下未设置任何参数,因此不会使用 DHE 密码。
在 1.11.0 版本之前,默认使用内置参数。
| 句法: |
ssl_ecdh_curve |
|---|---|
| 默认: |
ssl_ecdh_curve auto; |
| 语境: |
mail,server |
该指令出现在版本 1.1.0 和 1.0.6 中。
curve为 ECDHE 密码
指定 a 。
使用 OpenSSL 1.0.2 或更高版本时,可以指定多条曲线 (1.11.0),例如:
ssl_ecdh_curve prime256v1:secp384r1;
特殊值auto(1.11.0) 指示 nginx 在使用 OpenSSL 1.0.2 或更高版本或旧版本时使用 OpenSSL 库内置的列表prime256v1。
在 1.11.0 版本之前,prime256v1默认使用曲线。
当使用 OpenSSL 1.0.2 或更高版本时,此指令设置服务器支持的曲线列表。因此,为了使 ECDSA 证书发挥作用,包含证书中使用的曲线非常重要。
| 句法: |
ssl_password_file |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在 1.7.3 版本中。
指定file带有密钥的密码短语
,
其中每个密码短语在单独的行上指定。加载密钥时会依次尝试密码。
例子:
mail {
ssl_password_file /etc/keys/global.pass;
...
server {
server_name mail1.example.com;
ssl_certificate_key /etc/keys/first.key;
}
server {
server_name mail2.example.com;
# named pipe can also be used instead of a file
ssl_password_file /etc/keys/fifo;
ssl_certificate_key /etc/keys/second.key;
}
}
| 句法: |
ssl_prefer_server_ciphers |
|---|---|
| 默认: |
ssl_prefer_server_ciphers off; |
| 语境: |
mail,server |
指定当使用 SSLv3 和 TLS 协议时,服务器密码应优先于客户端密码。
| 句法: |
ssl_protocols
[ |
|---|---|
| 默认: |
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; |
| 语境: |
mail,server |
启用指定的协议。
TLSv1.1和 参数TLSv1.2(1.1.13、1.0.12)仅在使用 OpenSSL 1.0.1 或更高版本时才有效。
TLSv1.3仅当使用 OpenSSL 1.1.1 或更高版本时,参数 (1.13.0) 才有效
。
TLSv1.3从 1.23.4 开始默认使用
该参数。
| 句法: |
ssl_session_cache
|
|---|---|
| 默认: |
ssl_session_cache none; |
| 语境: |
mail,server |
设置存储会话参数的缓存的类型和大小。缓存可以是以下任何类型:
off- 严格禁止使用会话缓存:nginx 明确告诉客户端会话不能被重用。
none- 温和地禁止使用会话缓存:nginx 告诉客户端会话可以重用,但实际上并不将会话参数存储在缓存中。
builtin- OpenSSL 中内置的缓存;仅由一个工作进程使用。缓存大小在会话中指定。如果未给出大小,则等于 20480 个会话。使用内置缓存可能会导致内存碎片。
- 所有工作进程之间共享的缓存。缓存大小以字节为单位指定;1 MB 可以存储大约 4000 个会话。每个共享缓存应该有一个任意名称。具有相同名称的缓存可以在多个服务器中使用。它还用于自动生成、存储和定期轮换 TLS 会话票证密钥 (1.23.2),除非使用ssl_session_ticket_key指令显式配置。
两种缓存类型可以同时使用,例如:
ssl_session_cache builtin:1000 shared:SSL:10m;
但仅使用共享缓存而不使用内置缓存应该会更有效。
| 句法: |
ssl_session_ticket_key |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在 1.5.7 版本中。
设置file用于加密和解密 TLS 会话票证的密钥。如果必须在多个服务器之间共享相同的密钥,则该指令是必需的。默认情况下,使用随机生成的密钥。
如果指定了多个密钥,则仅使用第一个密钥来加密 TLS 会话票证。这允许配置密钥轮换,例如:
ssl_session_ticket_key current.key; ssl_session_ticket_key previous.key;
必须file包含 80 或 48 字节的随机数据,可以使用以下命令创建:
openssl rand 80 > ticket.key
根据文件大小,使用 AES256(对于 80 字节密钥,1.11.8)或 AES128(对于 48 字节密钥)进行加密。
| 句法: |
ssl_session_tickets |
|---|---|
| 默认: |
ssl_session_tickets on; |
| 语境: |
mail,server |
该指令出现在 1.5.9 版本中。
通过TLS 会话票证 启用或禁用会话恢复 。
| 句法: |
ssl_session_timeout |
|---|---|
| 默认: |
ssl_session_timeout 5m; |
| 语境: |
mail,server |
指定客户端可以重用会话参数的时间。
| 句法: |
ssl_trusted_certificate |
|---|---|
| 默认: | — |
| 语境: |
mail,server |
该指令出现在版本 1.7.11 中。
指定file具有 PEM 格式的可信 CA 证书,用于验证客户端证书。
与ssl_client_certificate 设置的证书相反,这些证书的列表不会发送到客户端。
| 句法: |
ssl_verify_client
|
|---|---|
| 默认: |
ssl_verify_client off; |
| 语境: |
mail,server |
该指令出现在版本 1.7.11 中。
启用客户端证书验证。验证结果通过身份验证请求的“Auth-SSL-Verify”标头传递 。
该optional参数请求客户端证书并验证该证书是否存在。
该optional_no_ca参数请求客户端证书,但不要求它由受信任的 CA 证书签名。这适用于 nginx 外部的服务执行实际证书验证的情况。可以通过发送
到身份验证服务器的
请求来访问证书的内容
。
| 句法: |
ssl_verify_depth |
|---|---|
| 默认: |
ssl_verify_depth 1; |
| 语境: |
mail,server |
该指令出现在版本 1.7.11 中。
设置客户端证书链中的验证深度。
| 句法: |
starttls
|
|---|---|
| 默认: |
starttls off; |
| 语境: |
mail,server |
on-
允许使用
STLSPOP3 命令以及STARTTLSIMAP 和 SMTP 命令; off-
拒绝使用
STLS和STARTTLS命令; only- 需要初步 TLS 转换。