nginx在centos上ssl调试技巧 - 问答

Nginx 在 CentOS 上的 SSL 调试技巧

一快速自检与定位路径

确认服务与语法：检查 Nginx 是否运行、配置是否可用，执行：sudo systemctl status nginx、sudo nginx -t。
核对证书与密钥路径：确保 ssl_certificate 与 ssl_certificate_key 指向正确文件，且文件存在：ls -l /path/to/.crt /path/to/.key。
查看错误日志：第一时间看 /var/log/nginx/error.log，大多数 SSL 启动或握手问题都会在这里给出明确线索。
在线体检：用 SSL Labs Server Test 检查协议、套件、链是否完整，目标是 A/A+。
端口连通：确认 443 已放行（云安全组/本机防火墙），并能建立 TCP 连接。

二常见报错对照与修复要点

症状	典型日志关键词	快速修复
启动报错 unknown directive “ssl”	nginx: [emerg] unknown directive “ssl”	编译时未包含模块，需带 –with-http_ssl_module 重装或重编译 Nginx
启动报错 No “ssl_certificate” defined	no “ssl_certificate” is defined in server listening on HTTPS	在 listen 443 ssl 的 server 块中补全 ssl_certificate 与 ssl_certificate_key
启动或握手失败权限被拒绝	BIO_new_file() failed … Permission denied	证书/目录权限不足或 SELinux 限制；证书 644、目录 755，必要时 restorecon 或调整策略
证书链不完整	SSL_CTX_use_certificate … certificate verify failed / chain too many	使用 fullchain.pem（含中间证书）；或手动合并：cat domain.crt intermediate.crt > fullchain.pem
握手失败密钥不匹配	SSL_CTX_use_PrivateKey_file … verify failed	校验证书与私钥是否配对（模数一致）
握手失败曲线不支持	EC_GROUP_new_by_curve_name: unknown group	客户端/上游或系统 OpenSSL 过旧，升级 OpenSSL 与 Nginx
握手失败 bad key share	tls_parse_ctos_key_share: bad key share	客户端过旧或中间设备干扰；升级客户端、临时放宽套件或禁用 HTTP/2 验证
代理上游 SSL 握手失败	SSL_do_handshake() failed … while SSL handshaking to upstream	上游证书链/协议/曲线不兼容；对齐 TLS 版本与曲线，必要时升级上游 OpenSSL

三深入排查命令清单

本地语法与配置测试：sudo nginx -t。
证书链与服务器证书查看：
- 查看服务器证书链：openssl s_client -connect example.com:443 -showcerts
- 校验证书与私钥匹配：
  - openssl x509 -noout -modulus -in server.crt | openssl md5
  - openssl rsa -noout -modulus -in server.key | openssl md5
指定协议版本测试握手：openssl s_client -connect example.com:443 -tls1_2 或 -tls1_3。
客户端视角抓握手细节：curl -vkI https://example.com。
抓包分析（定位中间设备干扰）：sudo tcpdump -ni any -s0 -w ssl.pcap port 443，用 Wireshark 查看 ClientHello/ServerHello。

四配置与运维要点

证书与路径：
- Let’s Encrypt：使用 fullchain.pem 与 privkey.pem；证书路径常见为 /etc/letsencrypt/live/yourdomain/。
- 权限与上下文：证书 644、目录 755；若 SELinux 启用，确认类型为 httpd_sys_content_t 或相应可访问类型。
协议与套件（示例）：
- 仅启用安全协议：ssl_protocols TLSv1.2 TLSv1.3;
- 现代套件：ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
- 优先服务器套件：ssl_prefer_server_ciphers on;
HTTP/2 排障：若异常，临时移除 http2 验证是否为协议协商问题。
调试日志：仅在排障时启用 error_log … debug;，避免性能与日志压力。

五最小化调试配置模板

前端 HTTPS 与 HTTP→HTTPS 跳转：

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate     /etc/letsencrypt/live/yourdomain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain/privkey.pem;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                       ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers on;

    location / {
        root /usr/share/nginx/html;
        index index.html;
    }
}

反向代理到上游 HTTPS（证书校验可选）：

location / {
    proxy_pass https://backend.example.com;
    proxy_ssl_verify on;                 # 生产建议开启
    proxy_ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.crt;  # 上游 CA 或中间证书
    proxy_ssl_verify_depth 2;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

变更后执行：sudo nginx -t && sudo systemctl reload nginx。

0 赞

0 踩