# Nginx如何配置SSL證書實現Https訪問
## 前言
在當今互聯網環境中,網站安全性已成為不可忽視的重要議題。HTTPS協議通過SSL/TLS加密技術,有效保護用戶數據在傳輸過程中的安全性,防止中間人攻擊、數據篡改和隱私泄露。作為主流Web服務器之一,Nginx配置SSL證書實現HTTPS訪問已成為運維人員的必備技能。本文將詳細介紹從證書申請到Nginx配置的全流程,并深入解析相關技術原理。
## 一、SSL證書基礎概念
### 1.1 什么是SSL證書
SSL(Secure Sockets Layer)證書是一種數字證書,用于在服務器和客戶端之間建立加密鏈接。它通過非對稱加密技術實現:
- 包含公鑰和私鑰對
- 由受信任的證書頒發機構(CA)簽發
- 驗證服務器身份的真實性
現代實際使用的是TLS(Transport Layer Security)協議,但習慣上仍稱為SSL證書。
### 1.2 證書類型對比
| 類型 | 驗證等級 | 頒發周期 | 適用場景 |
|--------------|------------|----------|-----------------------|
| DV證書 | 域名驗證 | 10-30分鐘| 個人網站、測試環境 |
| OV證書 | 組織驗證 | 3-5天 | 企業官網 |
| EV證書 | 擴展驗證 | 5-7天 | 金融、電商等高安全需求|
### 1.3 證書文件格式
- **PEM格式**:Base64編碼的文本文件,常見擴展名`.pem`, `.crt`, `.cer`
- **KEY格式**:私鑰文件,通常為`.key`擴展名
- **PFX/P12格式**:二進制格式的證書包,包含公私鑰
## 二、證書獲取方式
### 2.1 商業CA購買
推薦權威CA機構:
1. DigiCert
2. GlobalSign
3. Sectigo
4. 國內:CFCA、數安時代
### 2.2 免費證書申請
#### Let's Encrypt申請示例(Certbot工具):
```bash
# 安裝Certbot
sudo apt install certbot python3-certbot-nginx
# 獲取證書(需提前配置好DNS解析)
sudo certbot --nginx -d example.com -d www.example.com
# 自動續期測試
sudo certbot renew --dry-run
測試環境可使用OpenSSL生成:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/selfsigned.key \
-out /etc/ssl/certs/selfsigned.crt
需填寫證書信息: - Country Name (2 letter code) - State or Province Name - Locality Name - Organization Name - Common Name (必須與域名匹配)
修改Nginx配置文件(通常位于/etc/nginx/sites-available/default):
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
# 安全增強配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256";
location / {
root /var/www/html;
index index.html;
}
}
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/ca_bundle.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
ssl_client_certificate /path/to/ca.crt;
ssl_verify_client on;
推薦配置(301永久重定向):
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
會話復用:
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
TLS1.3優先:
ssl_protocols TLSv1.3 TLSv1.2;
密鑰更新周期:
openssl dhparam -out /etc/nginx/dhparam.pem 2048
然后在配置中添加:
ssl_dhparam /etc/nginx/dhparam.pem;
證書鏈不完整:
openssl s_client -connect example.com:443 -showcerts
協議/算法檢測:
nginx -t # 測試配置
ssllabs.com/ssltest # 在線檢測
錯誤日志查看:
tail -f /var/log/nginx/error.log
SNI(Server Name Indication)支持:
server {
listen 443 ssl;
server_name site1.com;
ssl_certificate /path/to/site1.crt;
# ...
}
server {
listen 443 ssl;
server_name site2.com;
ssl_certificate /path/to/site2.crt;
# ...
}
使用crontab設置自動任務:
0 3 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"
upstream backend {
server 10.0.0.1:443;
server 10.0.0.2:443;
}
server {
listen 443 ssl;
ssl_certificate /path/to/cert.pem;
location / {
proxy_pass https://backend;
proxy_ssl_verify on;
}
}
| 命令 | 用途 |
|---|---|
nginx -t |
測試配置文件語法 |
systemctl reload nginx |
平滑重載配置 |
openssl x509 -in cert.crt -text -noout |
查看證書詳情 |
Mozilla SSL配置生成器推薦的中級配置:
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
