Ubuntu Nginx配置HTTPS要注意什么

Ubuntu Nginx配置HTTPS的關鍵注意事項

1. 證書獲取與管理

• 優先選擇免費證書：生產環境推薦使用Let’s Encrypt免費證書（通過Certbot工具獲?。?，支持自動續期，避免證書過期導致服務中斷。安裝Certbot及Nginx插件后，運行sudo certbot --nginx -d yourdomain.com即可自動完成證書申請與Nginx配置。
• 自簽名證書僅用于測試：內網或開發環境可使用openssl req -x509 -nodes -days 365 -newkey rsa:2048生成自簽名證書，但瀏覽器會提示“不安全”，需手動信任。
• 正確配置證書路徑：確保證書文件（.crt/.pem）和私鑰文件（.key）路徑正確，避免權限問題（私鑰需設置為600權限）。Let’s Encrypt證書路徑通常為/etc/letsencrypt/live/yourdomain.com/。

2. 強制HTTP跳轉HTTPS

• 配置301永久重定向：在監聽80端口的server塊中添加return 301 https://$host$request_uri;，將所有HTTP請求永久重定向至HTTPS，提升安全性與SEO效果。例如：

  server {
      listen 80;
      server_name yourdomain.com www.yourdomain.com;
      return 301 https://$host$request_uri;
  }
  

3. SSL協議與加密套件優化

• 禁用不安全協議：僅啟用TLSv1.2及以上版本（TLSv1.3可選），避免SSLv2/3等存在漏洞的協議。配置ssl_protocols TLSv1.2 TLSv1.3;。
• 使用強加密套件：選擇ECDHE（橢圓曲線迪菲-赫爾曼）系列算法，如ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;，兼顧安全性與性能。
• 啟用前向保密：添加ssl_prefer_server_ciphers on;，確保服務器優先選擇加密套件，提升前向保密性。

4. 配置文件語法與重載

• 測試配置有效性：修改Nginx配置后，務必運行sudo nginx -t檢查語法錯誤，避免因配置錯誤導致服務無法啟動。
• 優雅重載配置：測試通過后，使用sudo systemctl reload nginx重載配置，無需中斷現有連接。

5. 安全增強配置

• 隱藏Nginx版本信息：在/etc/nginx/nginx.conf的http塊中添加server_tokens off;，避免響應頭中泄露Nginx版本，減少針對性攻擊。
• 限制訪問頻率：在http塊中添加限流配置（如limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;），防止DDoS或暴力破解。
• 添加安全響應頭：在server塊中添加以下頭部，提升安全性：
  • Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"：強制瀏覽器使用HTTPS（有效期2年）；
  • X-Frame-Options "DENY"：防止頁面被嵌入iframe（防范點擊劫持）。

6. 日志與故障排查

• 利用日志定位問題：通過/var/log/nginx/error.log查看SSL配置錯誤（如證書過期、私鑰不匹配），通過access.log監控HTTPS訪問情況。
• 常見錯誤解決方法：
  • “conflicting server name”：合并相同域名的server塊或使用301重定向（如將www指向主域名）；
  • 443端口無響應：檢查防火墻是否放行443端口（sudo ufw allow 443/tcp）。

7. 自動續期（針對Let’s Encrypt）

• 設置定時任務：Let’s Encrypt證書有效期為90天，需定期續期。運行sudo certbot renew --dry-run測試自動續期功能，然后在crontab -e中添加0 3 * * * /usr/bin/certbot renew --quiet，每天凌晨3點自動嘗試續期。