AMH 社区首页
AMH社区 - 开放自由有价值的社区
[求助帖] !【A大来看下】关于ssl使用以及nginx性能优化问题 |
|
---|---|
iseeyo |
iseeyo 发表于 2016-04-30 17:35:00
分析了下目前AMH存在的问题,A大关注下,看看能不能对这些存在的问题进行优化下呢?:P
1、amssl生成的ssl证书在各大浏览器上显示是风险不安全证书(这个证书也就相当于无效了),建议吸纳沃通或者Let's Encrypt等证书,景安的免费ssl证书用的就是沃通的api接口生成的。 2、虚拟主机切换Rewrite规则后,https.conf文件未能同步切换,这点需改进。 3、有些搜索引擎是不支持https抓取的,有些系统也不支持https(如XP系统也不支持SNI),这就涉及到了http和https共存以及显示谁的问题。 amh采用的是双server段方式: http方式下,如果浏览器或者搜索引擎支持https则跳到https if ($http_user_agent !~* "Windows\ NT\ 5.1|Windows\ NT\ 5.2|BaiduSpider|360Spider|YisouSpider") { https方式下,如果浏览器或者搜索引擎不支持https则跳到httprewrite ^(.*)$ https://$host$1 permanent; } if ($http_user_agent ~* "Windows\ NT\ 5.1|Windows\ NT\ 5.2|BaiduSpider|360Spider|YisouSpider") { 4、nginx性能优化(包含),amh默认情况下是没有对nginx进行优化的rewrite ^(.*)$ http://$host$1 permanent; } http {
### TCP 优化 sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 60; ### 开启 Gzip gzip on; gzip_vary on; gzip_comp_level 6; gzip_buffers 16 8k; gzip_min_length 1000; gzip_proxied any; gzip_disable "msie6"; gzip_http_version 1.0; gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript; ### 开启缓存 # 定义服务端缓存目录和属性值 proxy_cache_path /home/jerry/cache/nginx/proxy_cache_path levels=1:2 keys_zone=pnc:300m inactive=7d max_size=10g; proxy_temp_path /home/jerry/cache/nginx/proxy_temp_path; proxy_cache_key $host$uri$is_args$args; server { location / { resolver 127.0.0.1; proxy_cache pnc; proxy_cache_valid 200 304 2h; # 服务端缓存:状态值等于 200 和 304 的响应缓存 2 小时 proxy_cache_lock on; proxy_cache_lock_timeout 5s; proxy_cache_use_stale updating error timeout invalid_header http_500 http_502; proxy_http_version 1.1; proxy_ignore_headers Set-Cookie; # 移除 Set-Cookie ... ... } # 客户端缓存:开启 etag 、设置 expires 为最大值 location ~ ^/static/ { root /home/jerry/www/blog/www; etag on; expires max; } ### HTTPS 优化 ##缓存 TLS 会话供后续连接使用:简化 TLS 握手 ssl_session_cache shared:SSL:10m; # session_cache 缓存方式 ssl_session_timeout 60m; ssl_session_tickets on; # session_tickets 缓存方式 ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /xxx/full_chain.crt; resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s; # 配置 OCSP stapling 策略:让浏览器跳过在线验证证书有效性,用服务端获取 OCSP 同时更好地缓存 ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /xxx/full_chain.crt; resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s; ### 使用 HTTP/2 listen 443 ssl http2 fastopen=3 reuseport; # 限制 fastopen 为 3 减少攻击导致资源耗尽、启用 SO_REUSEPORT 监听多个 socket(每个 Worker 都能分到一个) ... ... } ... ... }
点赞,加油! (0分)
2016-04-30 17:35:00 1
|
siaoynli |
赞,我先测试一下~~~
回复
2016-04-30 18:12:05 2
|
siaoynli |
私信我,加个好友呗
回复
2016-04-30 18:18:26 3
|
kimwang |
[attach]3744[/attach]
有没有朋友用过阿里云盾的证书?5个域名以下有免费版。 附件 ali.PNG
回复
2016-04-30 19:33:30 4
|
kimwang |
我还不大会配置这类东西,如果可以对访问速度有提升,比如HTTP2,那我想设置一下,期待各位大虾的教程。
回复
2016-04-30 19:34:28 5
|
iseeyo |
回复
2016-04-30 19:54:29 6
|
kimwang |
回复
2016-04-30 19:58:27 7
|
kimwang |
您有没有接触过云盾证书?是不是真的免费?对这个不熟悉,不知道好不好用。
回复
2016-04-30 19:59:21 8
|
iseeyo |
回复
2016-04-30 20:31:56 9
|
iseeyo |
帖子已更新,此贴关闭不作答,请看新帖 http://amh.sh/bbs/post-9127-1-1.htm
回复
2016-04-30 21:18:01 10
|