以下是优化Apache SSL性能的关键配置步骤:
- 启用OCSP Stapling:减少客户端证书验证时间。
SSLUseStapling on SSLStaplingCache "shmcb:/var/run/ocsp-stapling-cache(128000)" - 启用HSTS:强制浏览器使用HTTPS,减少协议协商开销。
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" - 升级TLS协议:优先使用TLS 1.2/1.3,禁用不安全的旧版本。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 - 配置SSL会话缓存:减少握手次数,提升连接复用率。
SSLSessionCache "shmcb:/var/run/apache2/ssl_scache(512000)" SSLSessionCacheTimeout 300 - 优化加密套件:选择高性能、安全的密码套件,启用前向保密(PFS)。
SSLCipherSuite HIGH:!aNULL:!MD5 - 启用KeepAlive:减少TCP连接建立开销。
KeepAlive On MaxKeepAliveRequests 100 KeepAliveTimeout 5 - 调整文件描述符限制:避免高并发下连接被拒绝。
编辑/etc/security/limits.conf,设置nofile为较高值(如65536)。 - 内核参数调优:优化TCP连接参数,如
net.ipv4.tcp_tw_reuse=1。
完成配置后重启Apache生效:
sudo systemctl restart apache2