Debian Nginx SSL故障排查怎么做

在Debian系統上配置和排查Nginx SSL故障可以按照以下步驟進行：

1. 檢查SSL證書和密鑰

• 確保證書文件存在且路徑正確：通常，SSL證書和密鑰文件位于 /etc/nginx/ssl/ 目錄下。

  ls /etc/nginx/ssl/
  

• 檢查證書和密鑰是否匹配：

  openssl x509 -noout -modulus -in /etc/nginx/ssl/example.com.crt | openssl md5
  openssl rsa -noout -modulus -in /etc/nginx/ssl/example.com.key | openssl md5
  

  兩個命令的輸出應該相同。

2. 檢查Nginx配置文件

• 確保配置文件中包含正確的SSL相關配置：

  server {
      listen 443 ssl;
      server_name example.com;
      ssl_certificate /etc/nginx/ssl/example.com.crt;
      ssl_certificate_key /etc/nginx/ssl/example.com.key;
      # 其他配置...
  }
  

• 檢查SSL協議版本和密碼套件配置：

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers HIGH:!aNULL:!MD5;
  

3. 檢查依賴庫

• 確保所有必要的依賴庫已安裝：

  sudo apt-get update
  sudo apt-get install build-essential libpcre3 libpcre3-dev libssl-dev zlib1g-dev
  

4. 重新加載Nginx配置

• 在修改配置文件后，重新加載Nginx配置：

  sudo nginx -s reload
  

5. 檢查Nginx錯誤日志

• 查看Nginx的錯誤日志以獲取詳細的錯誤信息：

  sudo tail -f /var/log/nginx/error.log
  

6. 檢查防火墻設置

• 確保防火墻允許HTTPS流量：

  sudo ufw allow 'Nginx Full'
  

7. 檢查Nginx版本

• 確保使用的是支持SSL的Nginx版本：

  /usr/local/nginx/sbin/nginx -v
  

8. 檢查系統時間和時區

• SSL錯誤有時也可能由于系統時間不正確導致：

  sudo date -s "YYYY-MM-DD HH:MM:SS"
  

9. 檢查SELinux設置（如果適用）

• 如果系統啟用了SELinux,可能需要調整SELinux策略以允許Nginx使用SSL：

  sudo semanage fcontext -a -t httpd_sys_content_t "/etc/nginx/ssl(/.*)?"
  sudo restorecon -Rv /etc/nginx/ssl
  

10. 使用SSL測試工具

• 使用在線SSL測試工具（如SSL Labs）檢查SSL配置的安全性。