如何在NGINX网站服务器中实施SSL完美前向保密技术

当openSSL中的Heartbleed安全漏洞于2014年年初公之于众时，这个事实显得越来越清楚：对于在很大程度上采用SSL/TLS的任何系统而言，完美前向保密必不可少。
　
闲话少说，不妨配置NGINX来实施完美前向保密。
先不妨进入到NGINX的配置目录：
cd /etc/nginx/
我们需要生成安全性足够强的Diffie-Hellman参数。一些人认为，4096比特过长了，会给系统的处理器带来不必要的负担;但是就现在的计算能力而言，这似乎值得一试。想了解更多信息，请参阅下面的“参考资料”部分。
openssl dhparam -out dh4096pem 4096
要是有这个配置文件很方便，该文件是专门针对手头的任务，在include文件中被划分开来;这样一来，更容易跨数量众多的系统来实施完美前向保密。
vi /etc/nginx/perfect-forward-secrecyconf
将下列内容粘贴到上述文件中：
ssl_protocols TLSv1 TLSv11 TLSv12;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";
ssl_dhparam dh4096pem;
修改NGINX配置，以便加入上述文件，为此只要在>1、下载hive(>