Nginx国密模块加载顺序：确保国密模块优先于默认模块

在部署国密证书时，确保国密模块（GMSSL）优先于默认模块加载，是保障Nginx服务器能正确优先协商国密通道的关键。这需要在编译时和运行时**两个阶段都进行干预。

1.    理解模块加载的基本原理

Nginx启动时，核心模块与第三方/动态模块的加载时机不同：

            核心与内置模块：在编译阶段就被静态链接到主程序中，初始化顺序由它们在    `objs/ngx_modules.c`    源码数组中的位置决定。

            第三方动态模块：在配置文件中通过`load_module`指令加载，通过`load_module`加载的顺序，即为其最终的加载顺序。

            协商优先级：在握手协商环节，通过    `ssl_ciphers`    指令中套件的排列顺序（靠前优先）和    `ssl_prefer_server_ciphers    on`    指令，可强制服务器主导算法选择。

2.    编译时：确保模块顺序

编译前，需优先确保国密模块能成为`http_ssl_module`的实现基础：

            调整`--add-module`参数顺序：编译Nginx时，`--add-module`参数的顺序会影响模块在    `ngx_modules.c`    数组中的索引。若场景特定，将    `GM-OpenSSL`    模块的`--add-module`参数置于官方`http_ssl_module`之前，可使其在某些场景下拥有更靠前的索引。

            替换OpenSSL密码库：这是最根本的步骤。编译Nginx时，需使用`--with-openssl=...`参数，将其指向已编译好的GMSSL源码目录，从而在底层用国密算法库（GmSSL）替换默认的OpenSSL。

                注意：编译Nginx时，通常需显式启用`--with-http_ssl_module`。在替换密码库的场景下，目标并非移除该模块，而是确保它链接到GMSSL库。

            安全类模块的加载时机：如    `ngx_http_realip_module`    这类安全模块，必须在`access`访问控制阶段之前就完成初始化，否则可能导致IP黑白名单等安全策略失效。编译时，应确保这类安全相关模块的顺序符合预期。

3.    运行时：配置文件调优

这是最直接有效的手段，主要用于动态模块加载和运行时行为控制：

            `load_module`指令放在`main`上下文并排序：在`nginx.conf`文件顶部（`events`块之前），通过`load_module`加载动态模块。必须将国密动态模块（`ngx_http_gm_module.so`）的`load_module`行，放在其他HTTP模块之前。

            `ssl_ciphers`置前国密套件：在`server`块中，通过`ssl_ciphers`指令指定密码套件列表。务必把国密套件（如`ECC-SM2-WITH-SM4-SM3`、`TLS_SM4_SM3`）写在最前面，以确保障碍它优先于国际算法协商。

            `ssl_prefer_server_ciphers    on`：启用该指令，让服务器强制使用`ssl_ciphers`中定义的套件顺序，而不是遵循客户端的偏好。这对于确保国密优先至关重要。

4.    验证与排查的常用方法

配置完成后，建议通过以下方式进行验证：

            首选：`nginx    -V`

                这是验证库替换是否成功的核心依据。此命令会显示Nginx的编译参数和链接信息。您应检查输出中是否包含`--with-http_ssl_module`（证明SSL模块已启用），以及`OpenSSL`相关字段是否显示为国密版本如'OpenSSL    1.1.1g-gm'，以此确认底层已成功替换为国密库。

            辅助：test    &    ldd

                可以通过`nginx    -t`检查配置文件的静态语法，或使用`ldd`命令检查Nginx二进制文件是否在运行时正确链接了GMSSL的动态库。

            终极验证：openssl    s_client

                建议使用支持国密算法的`openssl`客户端版本，使用`-cipher`参数指定国密套件来模拟握手，以验证协商是否成功。

.    加密套件选择指南

如下表所示，结合业务场景详细说明常用国密参数的特点，便于您根据兼容性、用途和侧重点进行决策：

参数分类            推荐组合            特点与适用场景    

超高兼容性                    `ECDHE-SM4-SM3:SM4-SM3`            兼容**GMSSL    3.x    及之前版本的GmSSL分支，但国密套件较少。    

GMSSL    3.x    专用                    `TLS_SM4_SM3:TLS_SM4_SHA256`            完整**支持    TLS    1.3**，采用符合RFC命名规范的套件，代表前沿。    

金融等高安全场景                    `ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3`            严格遵循金融或等保要求，强制使用国密协议。    

双证书/自适应                    `GM-SM2-SM4-SM3:ECDHE-ECDSA-AES128-GCM-SHA256`            实现国密与国际自适应，同时满足不同要求。    

清理不可用套件                    `!aNULL:!eNULL:!DES:!RC4:!MD5:!PSK`                    避免提示错误或开启不安全**的套件，提高安全性。    

总结

确保Nginx国密模块优先加载是一个需要贯穿编译和运行两阶段的系统工程：

1.        编译阶段：通过`--with-openssl`选项，将Nginx的SSL模块底层实现替换为国密密码库（如GmSSL），并注意`--add-module`的顺序。

2.        配置阶段：

                            主配置上下文：在`nginx.conf`的`main`上下文中，使用`load_module`指令，将国密动态模块的加载指令置于最前。

                            加密套件：在`server`块配置`ssl_ciphers`时，确保将国密套件（如`ECC-SM2-WITH-SM4-SM3`等）写在最前面。

                            优先级控制：启用`ssl_prefer_server_ciphers    on`，强制服务端主导套件选择，确保优先协商国密通道。

完成上述配置后，务必需通过`nginx    -V`、`nginx    -t`及功能验证等手段，全链路确认国密环境已生效。