遇到Nginx SSL配置錯誤時�,可按以下步驟排查解決:
- 檢查證書與私鑰
- 確保證書(.crt)和私鑰(.key)文件路徑正確�����,且為配對文件���。
- 使用命令
openssl x509 -in cert.crt -text -noout 和 openssl rsa -in key.key -check 驗證文件完整性���。
- 驗證證書鏈
- 確保
ssl_certificate 和 ssl_trusted_certificate 包含完整證書鏈(含中間證書)�。
- 可通過在線工具(如SSL Labs)檢查證書鏈是否完整���。
- 配置協議與加密套件
- 僅啟用安全協議(如
TLSv1.2 TLSv1.3)��,禁用舊版協議(如SSLv3�、TLSv1.0)�。
- 使用推薦的加密套件(如
ECDHE-RSA-AES128-GCM-SHA256)���,避免不安全的算法���。
- 檢查配置語法與權限
- 使用
nginx -t 測試配置文件語法����,確保無錯誤�����。
- 確保Nginx用戶(如www-data)對證書文件有讀取權限(
chmod 600)���。
- 查看日志與防火墻
- 通過
/var/log/nginx/error.log 定位具體錯誤信息�。
- 檢查防火墻是否放行443端口(如
ufw allow 443/tcp)��。
- 更新與優化
- 確保Nginx為最新版本��,以支持最新的SSL/TLS特性��。
- 啟用會話緩存(
ssl_session_cache)和OCSP Stapling提升性能�����。
若問題仍未解決����,可提供具體錯誤日志或配置片段進一步分析���。
