nginx似乎忽略了ssl_ciphers设置

Question

我试图限制nginx，以避免使用使用DH算法的密钥交换密码。

为了强制这样做，我将ssl_ciphers设置为一个套件：

ssl_ciphers 'AES256-GCM-SHA384';

在重新启动nginx之后，我可以从访问日志中看到它仍然选择其他密码(在本例中，DHE-RSA- see 128-GCM-see 256)：

10.162.10.235 [02/Feb/2017:15:09:09 +0000] "GET /images/favicon.ico HTTP/1.1" 200 0 "https://example.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" 0.001 - "" "DHE-RSA-AES128-GCM-SHA256" "TLSv1.2" "-" "xxx" "r" - -

我一定误解了ssl_ciphers指令是如何工作的。我也尝试过将其设置为'!DH:!ECDH‘，但似乎对兼容的密码完全不能达成一致。

什么设置应该强制使用美学256-GMC- the 384？

Answer 1

我重新启动了nginx，但我相信它只是重新启动主进程并在该进程中加载新配置。存在的工作进程显然仍然具有旧的配置。

我重新启动了nginx，导致了这个问题。我正在使用命令：

service nginx restart 

结果表明，有几种不同的方法可以强制nginx重新加载它的配置，但是在配置服务的方式上，它没有使用任何这些方法。

就我的目的而言，只要停止服务并等待一两分钟才能再次启动它就足够了。