centos nginx ssl性能提升方法

CentOS 上提升 Nginx SSL 性能的可落地方案

一 基础与连接层优化

• 启用并优先使用 HTTP/2，在 listen 443 后添加 http2，可显著减少连接开销、提升并发。
• 调整并发与网络参数：
  • worker_processes 设为 auto（或 CPU 核心数）；
  • events { worker_connections 适当增大（如 4096/8192 视内存与 fd 限制而定）; }
  • 开启 sendfile on; 与 tcp_nopush on; tcp_nodelay on; 提升静态资源传输效率；
  • 开启长连接：keepalive_timeout（如 65s）、keepalive_requests（如 100）。
• 启用 Gzip 压缩 与 静态资源缓存（Cache-Control/Expires），降低传输体积与重复握手压力。
• 证书链要完整（使用 fullchain.pem），避免客户端验证失败导致握手重试与耗时增加。

二 SSL/TLS 关键参数与推荐配置

• 协议与套件：仅启用 TLSv1.2/TLSv1.3；优先 ECDHE 与 AEAD 套件（如 AES-GCM、ChaCha20-Poly1305），禁用不安全算法与散列。
• 会话复用：开启共享会话缓存与会话票据，减少完整握手次数。
• OCSP Stapling：服务端预取并装订证书状态，避免客户端外链查询，缩短握手时间。
• HSTS：添加 Strict-Transport-Security 头，减少后续重定向与协商。
• 示例片段（可按需微调）：

  listen 443 ssl http2;
  ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
  
  ssl_protocols       TLSv1.2 TLSv1.3;
  ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                     ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
                     ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
  ssl_prefer_server_ciphers on;
  
  ssl_session_cache   shared:SSL:10m;   # 约可缓存 ~4000 个会话
  ssl_session_timeout 1d;
  ssl_session_tickets on;
  
  ssl_stapling        on;
  ssl_stapling_verify on;
  ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
  resolver           8.8.8.8 8.8.4.4 valid=300s;
  resolver_timeout   5s;
  
  add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
  

  说明：会话缓存大小与命中率直接影响握手性能；1M 约可缓存 ~4000 个会话，可按并发适当增大；OCSP 需配置可用 DNS 解析器与受信链。

三 内核与 OpenSSL 层面的加速

• 启用 kTLS（Kernel TLS）：将 TLS 加密封装下沉到内核，配合 SSL_sendfile() 在内核态完成加密与发送，可显著降低用户/内核态数据拷贝与 CPU 开销；实测在静态文件高负载场景可达 ~2× 吞吐提升（依赖内核/OpenSSL/Nginx 版本与硬件）。要点：
  • 内核建议 Linux 5.2+（最低 4.17 且需匹配 OpenSSL 头文件版本）；
  • OpenSSL 3.0.0+；
  • Nginx 1.21.4+；
  • 构建 Nginx 时链接 OpenSSL 3.0+；
  • 在 server 配置中加入：ssl_conf_command Options KTLS;；
  • 验证：临时开启 debug 日志，grep 到 BIO_get_ktls_send() 与 SSL_sendfile() 即表明生效（生产环境请关闭 debug）。
• 硬件加速与编译优化：确保 OpenSSL 启用 AES-NI/NEON/SIMD 等优化，避免因错误编译或静态链接导致无法使用硬件加速；可用 openssl speed 对比不同算法性能，必要时测试 RSA 2048 vs 4096 的 CPU 与延迟差异并权衡安全与性能。

四 证书与网络链路优化

• 优先使用 ECDSA 证书（如 prime256v1/secp384r1），在相同安全等级下计算更快、握手更轻；如必须 RSA，优先 2048 位 并评估 4096 位带来的性能代价。
• 启用 OCSP Stapling 减少客户端在线查吊销带来的往返与阻塞；确保 resolver 稳定、超时合理，避免装订失败回退到慢路径。
• 全站 HTTPS 跳转（301），避免协议降级与混合内容；必要时使用 HSTS 降低后续协商成本。
• 若具备条件，使用支持 TLS 卸载 的网卡/设备将对称加密卸载到硬件，进一步降低 CPU 占用。

五 验证与压测

• 配置检查与连通性：
  • 语法检查：sudo nginx -t；
  • 握手与状态：openssl s_client -connect example.com:443 -servername example.com -tlsextdebug；
  • 在线评测：Qualys SSL Labs 测试安全与握手性能。
• 性能压测：
  • 使用 wrk / ab / hey 等进行并发与长连接压测；
  • 对比开启/关闭 kTLS、不同 session cache 大小、不同 cipher 与 TLS 版本 的 TPS/延迟/CPU；
  • 观察指标：握手耗时、每秒握手数、吞吐、CPU 使用率、错误率与超时。