产品服务AMH 免费服务器主机面板SSL证书 免费SSL证书申请 担保单 免费安全、零费率交易平台编程助手免费智能写代码、翻译AMYSQL 免费MySQL管理工具

AMH 社区首页

 AMH社区 - 开放自由有价值的社区

[求助帖] !【A大来看下】关于ssl使用以及nginx性能优化问题

iseeyo
金牌会员
5381.11 价值分

iseeyo 发表于 2016-04-30 17:35:00
分析了下目前AMH存在的问题,A大关注下,看看能不能对这些存在的问题进行优化下呢?:P

1、amssl生成的ssl证书在各大浏览器上显示是风险不安全证书(这个证书也就相当于无效了),建议吸纳沃通或者Let's Encrypt等证书,景安的免费ssl证书用的就是沃通的api接口生成的。

2、虚拟主机切换Rewrite规则后,https.conf文件未能同步切换,这点需改进。

3、有些搜索引擎是不支持https抓取的,有些系统也不支持https(如XP系统也不支持SNI),这就涉及到了http和https共存以及显示谁的问题。

amh采用的是双server段方式:
http方式下,如果浏览器或者搜索引擎支持https则跳到https
if ($http_user_agent !~* "Windows\ NT\ 5.1|Windows\ NT\ 5.2|BaiduSpider|360Spider|YisouSpider") {
rewrite ^(.*)$ https://$host$1 permanent;
}
https方式下,如果浏览器或者搜索引擎不支持https则跳到http
if ($http_user_agent ~* "Windows\ NT\ 5.1|Windows\ NT\ 5.2|BaiduSpider|360Spider|YisouSpider") {
rewrite ^(.*)$ http://$host$1 permanent;
}
4、nginx性能优化(包含),amh默认情况下是没有对nginx进行优化的
http {
### TCP 优化
sendfile on;
tcp_nopush on;
tcp_nodelay on;

keepalive_timeout 60;


### 开启 Gzip
gzip on;
gzip_vary on;

gzip_comp_level 6;
gzip_buffers 16 8k;

gzip_min_length 1000;
gzip_proxied any;
gzip_disable "msie6";

gzip_http_version 1.0;

gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript;


### 开启缓存
# 定义服务端缓存目录和属性值
proxy_cache_path /home/jerry/cache/nginx/proxy_cache_path levels=1:2 keys_zone=pnc:300m inactive=7d max_size=10g;
proxy_temp_path /home/jerry/cache/nginx/proxy_temp_path;
proxy_cache_key $host$uri$is_args$args;

server {

location / {
resolver 127.0.0.1;
proxy_cache pnc;
proxy_cache_valid 200 304 2h; # 服务端缓存:状态值等于 200 和 304 的响应缓存 2 小时
proxy_cache_lock on;
proxy_cache_lock_timeout 5s;
proxy_cache_use_stale updating error timeout invalid_header http_500 http_502;

proxy_http_version 1.1;

proxy_ignore_headers Set-Cookie; # 移除 Set-Cookie
... ...
}

# 客户端缓存:开启 etag 、设置 expires 为最大值
location ~ ^/static/ {
root /home/jerry/www/blog/www;
etag on;
expires max;
}

### HTTPS 优化
##缓存 TLS 会话供后续连接使用:简化 TLS 握手
ssl_session_cache shared:SSL:10m; # session_cache 缓存方式
ssl_session_timeout 60m;

ssl_session_tickets on; # session_tickets 缓存方式

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /xxx/full_chain.crt;

resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

# 配置 OCSP stapling 策略:让浏览器跳过在线验证证书有效性,用服务端获取 OCSP 同时更好地缓存
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /xxx/full_chain.crt;

resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

### 使用 HTTP/2
listen 443 ssl http2 fastopen=3 reuseport; # 限制 fastopen 为 3 减少攻击导致资源耗尽、启用 SO_REUSEPORT 监听多个 socket(每个 Worker 都能分到一个)
... ...
}
... ...
}
2016-04-30 17:35:00 1

siaoynli
铝牌会员
319.29 价值分

赞,我先测试一下~~~
  支持 (0分)  反对 (0分)
回复  2016-04-30 18:12:05 2

siaoynli
铝牌会员
319.29 价值分

私信我,加个好友呗
  支持 (0分)  反对 (0分)
回复  2016-04-30 18:18:26 3

kimwang
银牌会员
1873.39 价值分

[attach]3744[/attach]

有没有朋友用过阿里云盾的证书?5个域名以下有免费版。

附件
ali.PNG
  支持 (0分)  反对 (0分)
回复  2016-04-30 19:33:30 4

kimwang
银牌会员
1873.39 价值分

我还不大会配置这类东西,如果可以对访问速度有提升,比如HTTP2,那我想设置一下,期待各位大虾的教程。
  支持 (0分)  反对 (0分)
回复  2016-04-30 19:34:28 5

iseeyo
金牌会员
5381.11 价值分

引用:
kimwang 发表于 2016-4-30 19:33
有没有朋友用过阿里云盾的证书?5个域名以下有免费版。


云盾用的免费证书就是沃通的api接口
  支持 (0分)  反对 (0分)
回复  2016-04-30 19:54:29 6

kimwang
银牌会员
1873.39 价值分

引用:
iseeyo 发表于 2016-4-30 19:54
云盾用的免费证书就是沃通的api接口


http2怎么配置?您可以出个教程吗。
  支持 (0分)  反对 (0分)
回复  2016-04-30 19:58:27 7

kimwang
银牌会员
1873.39 价值分

您有没有接触过云盾证书?是不是真的免费?对这个不熟悉,不知道好不好用。
  支持 (0分)  反对 (0分)
回复  2016-04-30 19:59:21 8

iseeyo
金牌会员
5381.11 价值分

引用:
kimwang 发表于 2016-4-30 19:59
您有没有接触过云盾证书?是不是真的免费?对这个不熟悉,不知道好不好用。 ...


已经在用,免费。帖子第一条就提了关于证书的事情
  支持 (0分)  反对 (0分)
回复  2016-04-30 20:31:56 9

iseeyo
金牌会员
5381.11 价值分

帖子已更新,此贴关闭不作答,请看新帖 http://amh.sh/bbs/post-9127-1-1.htm
  支持 (0分)  反对 (0分)
回复  2016-04-30 21:18:01 10
 1  (总1页)
AMH社区列表
用户服务中心