如何禁止RC4？

RC4是一种较老的流密码算法，在TLS（Transport Layer Security）协议中已经被认为是不安全的，并且现代的浏览器和网络安全标准都不推荐或直接禁止使用它。按照您客户的要求，您需要在您的Nginx服务器上禁用RC4加密套件以符合安全规范。以下是针对CentOS系统上的Nginx服务器进行配置调整的步骤：

1. 检查当前Nginx支持的SSL协议和加密套件

首先，您需要确认Nginx当前配置支持哪些SSL协议和加密套件。可以通过以下命令查看：

openssl s_client -connect your_server_ip:443 -tls1_2 -cipher 'ALL' | grep "Cipher is"

请将your_server_ip替换为您的服务器IP地址。

2. 修改Nginx配置文件

编辑Nginx的配置文件，通常位于/etc/nginx/nginx.conf或者/etc/nginx/sites-available/default（具体路径可能根据您的安装情况有所不同），找到或添加ssl_ciphers配置项来指定允许的加密套件。为了禁用RC4并采用更安全的套件，您可以设置如下：

ssl_protocols TLSv1.2 TLSv1.3; # 确保只启用安全的SSL/TLS协议版本
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK";

这段配置确保了仅使用强加密套件，并明确排除了RC4。

3. 重新加载或重启Nginx服务

保存配置文件后，需要重新加载Nginx服务以应用更改。可以使用以下命令：

sudo nginx -t # 先测试配置是否正确
sudo nginx -s reload # 如果配置正确，重新加载Nginx

或者，如果需要强制重启Nginx服务，可以使用：

sudo systemctl restart nginx

4. 验证更改

再次使用之前提到的openssl s_client命令检查，确认RC4已被从支持的加密套件中移除。

完成以上步骤后，您的Nginx服务器就不再使用RC4加密算法，从而满足了客户的安全要求。