如何在nginx中配置openssl引擎aes-ni

Question

我使用引擎AES-NI提高了openssl的性能(硬件加速)，我的芯片支持AES-NI (Intel(R) Xeon(R) CPU E5620 @ 2.40GHz)。

我尝试安装openssl版本的https://github.com/PeterMosmans/openssl/tree/1.0.2-chacha和https://www.openssl.org/source/openssl-1.0.1l.tar.gz

使用命令测试速度openssl时，版本1.0.2 chacha：

openssl speed aes-256-cbc

那么错误：

错误:错误选项或值

当使用nginx配置时，版本1.0.1会出现错误：

nginx:警告library:filename(/usr/lib/x86_64-linux-gnu/openssl-1.0.1/engines/libaesni.so)：(“aesni”)失败(SSL: /usr/lib/x86_64-linux-gnu/openssl-1.0.1/engines/libaesni.so：：25066067:DSO support routines:DLFCN_LOAD:could not load )共享ENGINE_by_id/usr/lib/x86_64-linux-gnu/openssl-1.0.1/engines/libaesni.so:无法打开共享对象文件:没有这样的文件或目录错误:25070067:DSO支持routines:DSO_加载:无法加载共享库错误:260B6084:engine routines:DYNAMIC_LOAD:dso not错误:2606A074:engine routines:ENGINE_by_id:no not engine:id=aesni)

我知道对于openssl的>= 1.0.1版本，AES-NI不能通过引擎工作，并且不会出现在openssl引擎命令中。默认情况下，它在受支持的硬件上处于活动状态。

我看到https://www.ruby-forum.com/topic/6873426#1168394中有一个命令说“没有配置选项，只要您的cpu支持它，它就能工作”。

但我找不到官方消息来源。

请为使用openssl和配置与nginx提供一个解决方案。

Answer 1

在OpenSSL >=中，默认情况下，EVP接口中启用了1.0.1AES-NI，而且没有美学引擎。因此，在nginx中没有为OpenSSL版本>= 1.0.1启用AES-NI的配置选项，因为默认情况下它在OpenSSL中启用(只要您的OpenSSL支持它)。对于< 1.0.1的OpenSSL版本，虽然有可用的修补程序，但没有对AES-NI的官方支持。

[http://openssl.6102.n7.nabble.com/having-a-lot-of-troubles-trying-to-get-AES-NI-working-tp44285p44301.html]