Apache配置如何优化SSL性能

以下是优化Apache SSL性能的关键配置步骤：

1. 启用OCSP Stapling：减少客户端证书验证时间。

   SSLUseStapling on
   SSLStaplingCache "shmcb:/var/run/ocsp-stapling-cache(128000)"
   

2. 启用HSTS：强制浏览器使用HTTPS，减少协议协商开销。

   Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
   

3. 升级TLS协议：优先使用TLS 1.2/1.3，禁用不安全的旧版本。

   SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
   

4. 配置SSL会话缓存：减少握手次数，提升连接复用率。

   SSLSessionCache "shmcb:/var/run/apache2/ssl_scache(512000)"
   SSLSessionCacheTimeout 300
   

5. 优化加密套件：选择高性能、安全的密码套件，启用前向保密（PFS）。

   SSLCipherSuite HIGH:!aNULL:!MD5
   

6. 启用KeepAlive：减少TCP连接建立开销。

   KeepAlive On
   MaxKeepAliveRequests 100
   KeepAliveTimeout 5
   

7. 调整文件描述符限制：避免高并发下连接被拒绝。
   编辑/etc/security/limits.conf，设置nofile为较高值（如65536）。
8. 内核参数调优：优化TCP连接参数，如net.ipv4.tcp_tw_reuse=1。

完成配置后重启Apache生效：

sudo systemctl restart apache2