从零搭建企业级HTTPS:Nginx+Let‘s Encrypt+HSTS全攻略

于 2025-05-08 09:37:22 发布
阅读量958 收藏 9
点赞数 20
文章标签: https nginx 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwerdfwc_/article/details/147780831
版权

从零搭建企业级HTTPS:Nginx+Let's Encrypt+HSTS全攻略

一、为什么需要HTTPS?

  • 数据加密:防止中间人窃取敏感信息(如密码、信用卡号)。
  • SEO优化:Google等搜索引擎优先收录HTTPS网站。
  • 合规要求:满足GDPR、等保2.0等法规对数据传输安全的要求。

二、环境准备

1. 服务器与域名

  • 服务器:Ubuntu 22.04 LTS(推荐)或 CentOS 7+。
  • 域名:已备案且解析到服务器IP(如 example.com)。

2. 安装Nginx

 

bash
 

复制
 

# Ubuntu
sudo apt update && sudo apt install nginx -y

# CentOS
sudo yum install epel-release && sudo yum install nginx -y
 

3. 配置防火墙
 

 

bash
 

复制
 

# 开放80/443端口(Ubuntu)
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw reload

# CentOS使用firewalld
sudo firewall-cmd --permanent --add-service=http --add-service=https
sudo firewall-cmd --reload
 

 

三、申请Let's Encrypt免费证书
 

1. 安装Certbot工具
 

 

bash
 

复制
 

# Ubuntu
sudo apt install certbot python3-certbot-nginx -y

# CentOS
sudo yum install certbot python3-certbot-nginx -y
 

2. 证书申请(DNS验证方式)
 

 

bash
 

复制
 

sudo certbot --nginx -d example.com -d *.example.com --non-interactive --agree-tos -m admin@example.com --preferred-challenges dns
 

  • DNS验证:需在域名服务商处添加TXT记录(如 _acme-challenge.example.com)。
  • 自动化续期:Certbot会自动生成Cron任务,但需手动测试一次续期: 
     
    bash
     
    复制
     
    sudo certbot renew --dry-run
     
 

 

四、Nginx HTTPS配置
 

1. 基础配置(/etc/nginx/sites-available/example.com
 

 

nginx
 

复制
 

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri; # HTTP强制跳转HTTPS
}

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    # SSL证书路径
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # 强化安全参数
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers on;

    # 证书吊销检查(可选)
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 其他配置...
}
 

2. 启用HTTP/2与OCSP Stapling
 

  • HTTP/2:提升并发性能(需Nginx 1.9.5+)。
  • OCSP Stapling:减少客户端证书验证延迟。
 

 

五、启用HSTS增强安全
 

1. HSTS头部配置
 

 

nginx
 

复制
 

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
 

  • 参数说明
    • max-age=31536000:强制HTTPS有效期(1年)。
    • includeSubDomains:子域名也强制HTTPS。
    • preload:加入HSTS预加载列表(需通过 HSTS Preload Submit 提交)。
     
 

2. HSTS生效验证
 

  • 使用浏览器开发者工具查看响应头: 
     
    markdown
     
    复制
     
    Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
     
  • 通过在线工具 HSTS Check 验证配置。
 

 

六、性能优化与进阶配置
 

1. 启用Session Resumption
 

 

nginx
 

复制
 

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
 

  • 效果:减少重复握手的延迟。
 

2. 配置OCSP Stapling
 

 

nginx
 

复制
 

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
 

 

七、常见问题排查
 

1. 证书续期失败
 

  • 原因:DNS解析未更新或防火墙拦截。
  • 解决:手动执行 certbot renew --force-renewal 并检查日志 /var/log/letsencrypt/letsencrypt.log
 

2. 混合内容警告(Mixed Content)
 

  • 现象:HTTPS页面加载HTTP资源(如图片/CSS)。
  • 解决
    • 使用相对路径或协议相对URL(如 //example.com/image.jpg)。
    • 配置Nginx拦截HTTP资源: 
       
      nginx
       
      复制
       
      if ($scheme != "https") {
    return 301 https://$host$request_uri;
}
       
     
 

3. HSTS头部未生效
 

  • 检查项
    • 确认Nginx配置中 add_header 未被覆盖。
    • 清除浏览器缓存或使用隐身模式访问。
     
 

 

八、监控与维护
 

1. 证书有效期监控
 

 

bash
 

复制
 

# 查看证书过期时间
openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -enddate
 

2. 自动化监控(Prometheus + Grafana)
 

  • 使用 cert-manager 和 Prometheus Exporter 监控证书状态。
 

 

九、总结
 

通过Nginx+Let's Encrypt+HSTS的组合,可快速搭建企业级HTTPS服务,兼顾安全性与性能。​关键点
 

  1. 选择强加密套件(禁用弱算法如SHA1/RC4)。
  2. 强制HSTS防止降级攻击。
  3. 自动化证书续期避免服务中断。
 

 

附录
 

  • Let's Encrypt官方文档
  • Nginx SSL配置生成器
 

通过本文,读者可独立完成从零部署到高级优化的全流程,适合运维工程师与开发者参考。

                

        

    

  



    

      

        

            

              
                
                  qwerdfwc_
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
NginxLet‘s Encrypt:免费实现全站HTTPS加密

				
			

			

				

					java专栏
				

				

					09-11
					
					1951
					
				

			

		

		

			
				
HTTPS其实是HTTP的安全版,也就是超文本传输协议的加密版本。它通过SSL/TLS证书来加密你的数据传输,这样即使有人截获了你的数据包,他们也无法读取其中的内容,只能看到一堆乱码。😎欢迎来到第二章,今天我们要介绍的是Web服务器的守护者——Nginx!🛡️通过设置自动续期,我们可以确保网站的SSL证书始终保持最新,从而保障网站的安全和信任度。如果遇到任何问题,不要犹豫,及时检查日志并寻求帮助。故障排查是一个系统性的过程,需要我们耐心和细致。

			
		

	



                

            
              



	

		

			

				
					
使用Nginx配置Let‘s Encrypt SSL证书 - 服务器

				
			

			

				

					IsdCoding的博客
				

				

					09-27
					
					436
					
				

			

		

		

			
				
为了确保网站的安全性和数据传输的加密,配置SSL证书是至关重要的。在CentOS服务器上,我们可以使用Nginx作为Web服务器,并通过Let’s Encrypt服务获取免费的SSL证书。本文介绍了在CentOS服务器上使用Nginx配置Let’s Encrypt SSL证书的详细步骤。通过按照上述步骤操作,您可以获得免费的SSL证书,以确保您的网站在数据传输过程中的安全性和加密性。现在,您的Nginx服务器已经配置好了Let’s Encrypt的SSL证书,并且支持通过HTTPS进行安全的数据传输。

			
		

	



              


  
              

                


	

		

			

				
					
Nginx 通过 Let‘s Encrypt 实现 HTTPS 访问全流程指南

					
最新发布

				
			

			

				

					源滚滚编程
				

				

					04-24
					
					538
					
				

			

		

		

			
				
建议定期检查证书状态,并参考 Mozilla SSL Configuration Generator 获取最新安全配置模板。如需深度定制(如多域名负载均衡),可结合 Kubernetes 等容器编排工具实现。能自动化完成证书申请、部署与续期,大幅降低 HTTPS 的配置复杂度。通过 Certbot 与 Nginx 的集成,用户可在 5 分钟内完成全流程配置。运营的免费证书颁发机构(CA),旨在推动 HTTPS 的普及。若需自定义配置,可手动修改 Nginx 虚拟主机文件(如。

			
		

	





	

		

			

				
					
使用Let‘s Encrypt配置nginx免费的Https

				
			

			

				

					weixin_40766789的博客
				

				

					01-12
					
					601
					
				

			

		

		

			
				
)有疑问欢迎留言哈。

			
		

	



		

			
		



	

		

			

				
					
轻松配置 httpsLet‘s Encrypt 介绍及 Nginx Proxy Manager 实用操作教程

				
			

			

				

					qq_52141337的博客
				

				

					03-07
					
					3317
					
				

			

		

		

			
				
一般我们在本地进行 web 开发时用的都是 http 协议,而部署到服务器上之后为了安全都要配置 https,以保证客户端和服务器之间的通信内容得到加密,不会被泄露或篡改。本文将介绍 https 协议的基本知识(如果有基础可以跳过),以及如何使用 Let’s Encrypt 给你的服务优雅地配置 https

			
		

	





	

		

			

				
					
微信小程序HTTPS实现攻略:nginx配置与错误诊断终极指南

				
			

			

				

					
				

			

		

		

			
				
[微信小程序HTTPS实现攻略:nginx配置与错误诊断终极指南](https://mastersofmedia.hum.uva.nl/wp-content/uploads/2019/09/toutu-1024x576.png)  # 摘要 随着互联网安全意识的增强,HTTPS技术在微信小程序中的应用...

			
		

	





	

		

			

				
					
NginxHTTPS卸载:SSL/TLS终止点详解

				
			

			

				

					墨夶的博客
				

				

					02-09
					
					1266
					
				

			

		

		

			
				
通过使用 Nginx 进行 HTTPS 卸载和 SSL/TLS 终止,可以显著提高网站的安全性和性能。本文详细介绍了从生成和管理 SSL/TLS 证书到配置 Nginx 作为终止点的过程,并通过实际案例展示了完整的集成方案。希望这些内容能够帮助你更好地理解和应用 Nginx SSL/TLS 终止技术,构建高效、安全的 Web 应用!以上内容涵盖了 Nginx SSL/TLS 终止的基本概念、配置方法、实际案例分析以及最佳实践。如果你对某个具体部分感兴趣,欢迎进一步提问!

			
		

	





	

		

			

				
					
HSTS部署案例分析】:全程揭秘从开始的HSTS部署(实践案例)

				
			

			

				

					
				

			

		

		

			
				
[【HSTS部署案例分析】:全程揭秘从开始的HSTS部署(实践案例)](https://qwiet.ai/wp-content/uploads/2024/01/3.-The-Lifecycle-of-an-HTTPS-Request-with-HSTS.png) # 1. HSTS基础与原理  HSTS,即HTTP严格传输...

			
		

	





	

		

			

				
					
深入浅出 Golang HTTPS:原理与最佳实践

				
			

			

				

					Golang编程笔记的博客
				

				

					04-15
					
					924
					
				

			

		

		

			
				
本文旨在为Golang开发者提供从HTTPS基础原理到生产环境实践的完整技术指南。HTTPS核心技术原理(TLS协议、数字证书、加密算法)Golang中HTTPS服务端与客户端的实现方法生产环境安全配置的最佳实践性能优化与常见问题解决方案背景知识:定义核心术语,建立技术认知基础核心概念:解析HTTPS通信模型与TLS协议架构算法与实现:通过Golang代码演示关键技术点实战指南:完整项目案例覆盖开发到部署全流程应用与优化:生产环境的安全配置与性能调优。

			
		

	





	

		

			

				
					
Rocky Linux 8 系统 + Nginx + Let‘s Encrypt SSL 免费证书

				
			

			

				

					xiaochong0302的博客
				

				

					03-01
					
					1016
					
				

			

		

		

			
				
Let's Encrypt SSL 证书是 Let's Encrypt CA 提供的数字证书,用于(证书授权)保护 Web 服务器。这是免费的 TLS / SSL 证书,有效期只有 90 天,因此在到期之前需要更新。这对于无法负担高级 SSL 证书的初创公司或个人是个不错的选择。

			
		

	





	

		

			

				
					
Nginx安装免费https证书(Let‘s Encrypt)申请与配置(二)

				
			

			

				

					smallbirdnq的专栏
				

				

					08-11
					
					500
					
				

			

		

		

			
				
为了能为一些web服务器提供快速安装证书能力,certbot提供了一些针对性插件,如对nginx提供了nginx插件,对Apache提供了apache插件,如下截图。说了这么多题外话,接下来说说如何生成证书并且如何使用它,官网提供了好多命令和插件这里以nginx为主,记录其中的操作命令,命令并无严格顺序。4,如果证书生成并安装到nginx上,通过执行如下命令,执行之前需要对你的nginx.conf进行备份。5,当然我们想手动执行插件会更灵活,可以手动输入命令和认证需要的参数,这里需要手动指定两个插件。

			
		

	





	

		

			

				
					
使用Docker和Nginx轻松配置Let's Encrypt免费SSL证书

				
			

			

				

					gitblog_00093的博客
				

				

					06-11
					
					877
					
				

			

		

		

			
				
使用Docker和Nginx轻松配置Let's Encrypt免费SSL证书
去发现同类优质开源项目:https://gitcode.com/
在数字化的今天,网站的安全性已成为每个在线业务的基础。Let's Encrypt提供了免费的SSL证书,使得网站能够启用HTTPS,确保数据传输的安全。这篇项目文章将引导你通过Docker和Nginx,轻松实现Let's Encrypt SSL证书的自动配...

			
		

	





	

		

			

				
					
Let’s Encrypt 申请免费https证书(snapd安装)

				
			

			

				

					hjx_dou的专栏
				

				

					04-21
					
					389
					
				

			

		

		

			
				
最近给域名安装免费的https证书 Let’s Encrypt,发现跟之前的安装方式不太一样,这里记录一下安装过程。

			
		

	





	

		

			

				
					
CentOS + Nginx 环境自动申请和部署Let‘s Encrypt免费SSL证书教程

				
			

			

				

					hybaym的专栏
				

				

					01-24
					
					117
					
				

			

		

		

			
				
本文介绍如何在 CentOS + Nginx 环境下,自动申请和部署Let’s Encrypt免费SSL证书。

			
		

	





	

		

			

				
					
JavaScript学习笔记(二十)DOM动画效果

				
			

			

				

					2401_84254011的博客
				

				

					04-28
					
					1238
					
				

			

		

		

			
				
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)

			
		

	





	

		

			

				
					
Let‘s Encrypt

				
			

			

				

					tiantiantbtb的博客
				

				

					04-13
					
					1139
					
				

			

		

		

			
				
创建文件夹安装Certbot客户端首先确保example.com和www.example.com这两个域名通过DNS解析绑定了你的web 服务器的公网 IP下面命令会验证   /var/www/example  他会将一些命令文件存在该目录下   -d example.com -d www.example.com意思是让Certbot 将为所有列出的域名生成一个单一的证书。这种证书通常被称为多域名(SAN, Subject Alternative Name)证书。那么。

			
		

	





	

		

			

				
					
在 Ubuntu 22.04 上使用 Let‘s Encrypt 配置 Nginx SSL 证书

				
			

			

				

					re_xue的博客
				

				

					04-20
					
					2988
					
				

			

		

		

			
				
最近,我在自己的服务器上部署了一个网站,并决定使用 SSL 证书来确保网站的安全性。经过一番研究,我选择了 Let's Encrypt 作为 SSL 证书的提供商,因为它免费、自动化且广受信任。在这篇博客中,我将与大家分享我在 Ubuntu 22.04 上使用 Let's Encrypt 配置 Nginx SSL 证书的过程。

			
		

	





	

		

			

				
					
Let‘s Encrypt在Linux上免费配置HTTPS

				
			

			

				

					weixin_73725158的博客
				

				

					05-08
					
					606
					
				

			

		

		

			
				
Certbot将自动检测你的Nginx配置文件,并提示你输入你的电子邮件地址和同意服务条款。准备工作在配置HTTPS之前,你需要确保你的Linux服务器上已经安装了Nginx或Apache等Web服务器,并且已经拥有一个域名。同时,你需要确保你的服务器已经正确配置了DNS解析,使得你的域名能够解析到你的服务器IP地址。Certbot是Let's Encrypt官方推荐的客户端软件,它可以自动为你的网站配置HTTPS并安装证书。配置完成后,你可以通过访问你的网站来验证HTTPS是否已成功配置。

			
		

	





	

		

			

				
					
配置Nginx HTTPS证书详细步骤

				
			

			

				

					
				

			

		

		

			
				
2. **证书申请**:首先,需要从权威的证书颁发机构(如Let's Encrypt、Verisign、GlobalSign等)申请一个SSL证书,通常包括域名验证、组织验证和扩展验证三个级别。  3. **Nginx配置**:在Nginx配置文件中,需要添加...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值