?
以下是 在 Nginx 配置新 SSL 證書并啟用 HTTPS 的詳細(xì)步驟����,適用于手動(dòng)安裝證書或結(jié)合 Let's Encrypt 自動(dòng)管理的情況: |
1. 準(zhǔn)備工作
1.1 獲取 SSL 證書
?證書來(lái)源:
?從證書頒發(fā)機(jī)構(gòu)(CA)購(gòu)買證書(如阿里云、騰訊云�、DigiCert 等)。
?使用 Let's Encrypt 免費(fèi)證書(推薦)��。
?生成自簽名證書(僅用于測(cè)試環(huán)境)�����。
?證書文件要求:
?服務(wù)器證書文件(如 example.com.crt 或 fullchain.pem)��。
?私鑰文件(如 example.com.key 或 privkey.pem)。
?(可選)中間證書文件(如 intermediate.crt���,需與主證書合并為完整證書鏈)�����。
1.2 上傳證書到服務(wù)器
?將證書和私鑰上傳到服務(wù)器的安全目錄(如 /etc/nginx/ssl/):
Bash
sudo mkdir -p /etc/nginx/ssl/
sudo cp example.com.crt /etc/nginx/ssl/
sudo cp example.com.key /etc/nginx/ssl/ |
2. 配置 Nginx
2.1 編輯 Nginx 配置文件
?打開站點(diǎn)配置文件(通常位于 /etc/nginx/sites-available/your_domain.conf 或 /etc/nginx/conf.d/your_domain.conf):
Bash
sudo nano /etc/nginx/sites-available/example.com.conf |
?添加 SSL 配置(示例):
Nginx
server {
listen 443 ssl;
server_name example.com www.example.com;
# SSL 證書路徑
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
# SSL 協(xié)議與加密套件優(yōu)化
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# 其他配置(如網(wǎng)站根目錄�����、代理等)
location / {
root /var/www/html;
index index.html;
}
} |
?強(qiáng)制 HTTP 跳轉(zhuǎn) HTTPS(可選):
Nginx
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
} |
2.2 檢查配置文件語(yǔ)法
?測(cè)試 Nginx 配置是否正確:
如果提示 syntax is ok 且 test is successful�,則配置無(wú)誤����。
3. 重啟 Nginx 服務(wù)
?平滑重啟 Nginx(避免服務(wù)中斷):
Bash
sudo systemctl reload nginx |
?如果失敗,嘗試完全重啟:
Bash
sudo systemctl restart nginx |
4. 驗(yàn)證 SSL 配置
4.1 瀏覽器訪問測(cè)試
?訪問 https://example.com�,檢查瀏覽器地址欄是否顯示安全鎖標(biāo)志,且無(wú)證書錯(cuò)誤�。
4.2 命令行驗(yàn)證
?使用 openssl 檢查證書信息:
Bash
openssl x509 -in /etc/nginx/ssl/example.com.crt -text -noout |
?使用在線工具(如 SSL Labs)測(cè)試證書配置。
5. 自動(dòng)續(xù)簽證書(推薦��,適用于 Let's Encrypt)
如果使用 Certbot(Let's Encrypt)管理證書:
5.1 安裝 Certbot
Bash
sudo apt install certbot python3-certbot-nginx # Debian/Ubuntu
sudo yum install certbot python3-certbot-nginx # CentOS/RHEL |
5.2 獲取并配置證書
Bash
sudo certbot --nginx -d example.com -d www.example.com |
按提示選擇域名并啟用自動(dòng)重定向(HTTP 到 HTTPS)�����。
5.3 設(shè)置自動(dòng)續(xù)簽
?編輯定時(shí)任務(wù):
?添加以下任務(wù)(每天凌晨 2 點(diǎn)檢查續(xù)簽):
Bash
0 2 * * * certbot renew --quiet |
6. 注意事項(xiàng)
(1)權(quán)限設(shè)置:
?確保證書和私鑰文件權(quán)限正確:
Bash
sudo chmod 600 /etc/nginx/ssl/*.key
sudo chmod 644 /etc/nginx/ssl/*.crt
sudo chown root:root /etc/nginx/ssl/*.key |
(2)證書鏈完整性:
?如果證書文件缺少中間證書,需將 CA 提供的中間證書合并到主證書文件中:
Bash
cat example.com.crt intermediate.crt > fullchain.crt |
(3)防火墻配置:
?確保服務(wù)器防火墻或安全組允許 443 端口入站流量���。
(4)日志監(jiān)控:
?檢查 Nginx 錯(cuò)誤日志(/var/log/nginx/error.log)排查配置問題。
7. 常見問題排查
?證書未生效:檢查 Nginx 配置中證書路徑是否正確�����,或嘗試強(qiáng)制刷新瀏覽器緩存�。
?權(quán)限錯(cuò)誤:確保私鑰文件權(quán)限為 600,且 Nginx 進(jìn)程有權(quán)限讀取證書文件���。
?配置沖突:運(yùn)行 nginx -t 檢查語(yǔ)法���,或查看日志文件 /var/log/nginx/error.log。
通過以上步驟�,可以完成 Nginx 的 SSL 證書配置。
該文章在 2025/8/11 10:57:45 編輯過
400 186 1886
