centos下nginx ssl优化技巧

CentOS 下 Nginx SSL 优化要点

一 基础安全与协议套件

• 仅启用现代协议：优先使用 TLSv1.3，同时保留 TLSv1.2；禁用 SSLv2/SSLv3/TLSv1.0/TLSv1.1。
• 选择支持前向保密（FS）的 AEAD 套件，优先 ECDHE + AES-GCM / ChaCha20-Poly1305；禁用 RC4、DES、3DES、MD5、NULL、ADH、EXPORT 等弱套件与模式。
• 让服务器优先选择套件：启用 ssl_prefer_server_ciphers on。
• 证书链要完整：使用 fullchain 证书，避免中间证书缺失导致信任链不完整。
• 启用 HTTP/2 提升多资源页面性能（需 Nginx ≥ 1.9.5 且 OpenSSL ≥ 1.0.2）。
• 建议启用 HSTS（如：max-age=31536000；includeSubDomains；preload），减少降级与劫持风险。

二 性能优化关键参数

• 会话复用：开启共享会话缓存与会话票据，显著降低完整握手次数。
  • 推荐：ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets on;
• OCSP Stapling：服务器预取并装订证书状态，减少客户端外链查询与握手延迟。
  • 推荐：ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/fullchain.pem; resolver 8.8.8.8 1.1.1.1 valid=300s; resolver_timeout 5s;
• ECDHE 参数：生成并配置 DH/ECDH 参数，避免每次握手重复计算。
  • 生成：openssl dhparam -out /etc/nginx/dhparam.pem 2048
  • 配置：ssl_dhparam /etc/nginx/dhparam.pem;
• 启用 HTTP/2：在 listen 443 后追加 http2，提升并发与首包时间表现。

三 证书与自动化运维

• 证书获取与自动续期：使用 Let’s Encrypt 与 Certbot 简化申请、部署与续期。
  • 安装（CentOS 常见路径）：sudo yum install epel-release -y && sudo yum install certbot python2-certbot-nginx -y
  • 获取证书：sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
  • 自动续期（每天检查，静默续期并在成功后重载 Nginx）：
    • 0 0 * * * /usr/bin/certbot renew --quiet --post-hook “systemctl reload nginx”
• 证书链与路径：Nginx 中证书使用 fullchain，私钥使用 privkey，路径通常为 /etc/letsencrypt/live/yourdomain.com/{fullchain.pem,privkey.pem}。

四 一键示例配置片段

# 仅启用现代协议与强套件
ssl_protocols              TLSv1.2 TLSv1.3;
ssl_ciphers                TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers  on;

# 证书与密钥（Let's Encrypt 路径示例）
ssl_certificate            /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key        /etc/letsencrypt/live/example.com/privkey.pem;

# DH/ECDH 参数
ssl_dhparam                /etc/nginx/dhparam.pem;

# 会话复用
ssl_session_cache          shared:SSL:10m;
ssl_session_timeout        1d;
ssl_session_tickets       on;

# OCSP Stapling
ssl_stapling               on;
ssl_stapling_verify        on;
ssl_trusted_certificate   /etc/letsencrypt/live/example.com/fullchain.pem;
resolver                  8.8.8.8 1.1.1.1 valid=300s;
resolver_timeout          5s;

# HTTP/2 与 HSTS
listen                    443 ssl http2;
add_header                Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

说明：将 example.com 替换为你的域名；若需兼容较老客户端，可在套件中补充部分 ECDHE-RSA-AES128-SHA256 等，但应优先 AEAD 套件。

五 验证与排错

• 在线检测：使用 Qualys SSL Labs 获取评级（目标 A+），并结合 testssl.sh 做细项检查。
• 常见问题：
  • 证书不受信任或链不完整：确认使用 fullchain，并核对中间证书顺序。
  • 握手失败或协议不匹配：核对 ssl_protocols/ssl_ciphers 与客户端支持情况。
  • 时间错误导致校验失败：校准服务器时间（NTP）。
  • 混合内容：确保页面资源全部走 HTTPS。
  • OCSP 装订失败：检查 resolver 可达性与 ssl_trusted_certificate 路径。