nginx SSL配置步骤有哪些

Nginx SSL 配置步骤

一 准备与前置检查

• 获取并解压证书文件：从证书颁发机构下载适用于 Nginx 的证书包，常见包含：.crt/.pem 证书链文件 与 .key 私钥文件；将文件上传到服务器（如 /etc/nginx/ssl/ 或 /etc/ssl/cert/）。
• 防火墙与安全组：在服务器与云安全组放行 TCP 443 端口，否则无法对外提供 HTTPS。
• 确认 Nginx 已编译 http_ssl_module：执行 nginx -V，若未包含该模块，需要重新编译或在安装时加入该模块。
• 规划证书路径与权限：证书与私钥建议仅对 root 可读，权限如 600/644，防止泄露私钥。

二 配置 HTTPS 服务器块

• 新建或复制一份监听 443 ssl 的 server 块，指定证书与私钥路径，并开启现代协议与套件：

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate     /etc/ssl/cert/ssl.pem;         # 或 fullchain.pem
    ssl_certificate_key /etc/ssl/cert/ssl.key;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_prefer_server_ciphers on;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    # 可选：启用 HSTS（谨慎评估后开启）
    # add_header Strict-Transport-Security "max-age=63072000" always;

    # 其它原有配置（root、location 等）保持不变
}

• 证书链说明：多数 CA 提供“证书链/中间证书”，常见做法是将中间证书与服务器证书合并为一个 .pem 文件，并在 ssl_certificate 指向该合并文件；若分开存放，按 CA 指引配置。
• 多域名/多证书：为不同域名分别配置多个 server 块，各自指向对应的证书与私钥。

三 HTTP 自动跳转 HTTPS

• 在监听 80 端口的 server 块中统一跳转：

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

• 若使用 CDN 或反向代理，请在其控制台同步开启 HTTPS 与回源协议，避免回源明文。

四 验证与生效

• 语法与配置检查：执行 sudo nginx -t -c /etc/nginx/nginx.conf，出现 “syntax is ok / test is successful” 再继续。
• 重新加载或重启：执行 sudo systemctl reload nginx（或 restart），使新配置生效。
• 访问验证：用浏览器访问 https://yourdomain，确认证书有效、链完整、协议为 TLS 1.2/1.3。

五 常见问题与优化

• 端口未放行：服务器与云安全组未开放 443 会导致无法访问，请放行后再测试。
• 证书链不完整：浏览器报“证书不受信任/链不完整”，请将中间证书合并到 ssl_certificate 的 .pem 中。
• 模块缺失：执行 nginx -V 未包含 –with-http_ssl_module 时，需重新编译加入该模块后再配置。
• 性能与安全：启用 ssl_session_cache 与 ssl_session_timeout，仅开启 TLSv1.2/1.3，并按需启用 HSTS 与 HTTP/2。