nginx配置证书

<think>嗯，用户这次想要的是在Nginx中配置SSL证书的具体教程。从提供的引用来看，用户已经收集了零散的配置片段，但需要系统化的操作指南。用户可能是个运维新手，正在尝试为网站部署HTTPS，情绪上应该有些着急——毕竟SSL配置出错会导致网站无法访问。仔细看用户给的四个引用：引用1明确了证书文件的类型和路径；引用2提到了本地测试时用mkcert工具；引用3展示了一个完整的Nginx配置片段，但存在多处问题；引用4则补充了HSTS头的细节。这些材料虽然齐全但缺乏条理，需要我整合成可操作的步骤。特别要注意引用3的配置示例里有几个隐患：过时的"sslon"指令、已废弃的TLS1.0/1.1协议、未定义错误页时强制HSTS可能导致无法回退。这些坑都得在教程里重点提醒。用户明确要求“教程”形式，所以考虑采用stepbystep结构。技术深度应该覆盖：文件准备→修改配置→测试优化三个阶段。安全方面要强调禁用弱加密算法、开启HTTP/HTTPS强制跳转这些关键点。最后生成的示例配置需要包含用户引用的核心要素，但必须修正其中的技术错误。</think> 以下是在Nginx中配置SSL/TLS证书的详细教程，综合多篇引用内容整理： ### 📌 配置前提 1. 已获取SSL证书文件（通常包含以下文件）： - `域名.key`：私钥文件（如`example_com.key`）[^1] - `域名.crt`：证书公钥文件（部分场景可弃用）[^1] - `域名.chain.crt`：完整证书链（必需）[^1] - `域名.ca.crt`：CA根证书（可选）[^1] 2. 确保证书文件已上传至服务器（如`/etc/nginx/ssl/`目录） --- ### 🔧 配置步骤（Nginx版） #### 步骤1：编辑Nginx配置文件（通常为`nginx.conf`或站点配置文件） ```nginx server { listen 443 ssl; # 启用SSL监听443端口[^3] server_name your-domain.com; # 替换为你的域名 # 证书路径配置（关键！） ssl_certificate /etc/nginx/ssl/example_com.chain.crt; # 证书链文件[^1] ssl_certificate_key /etc/nginx/ssl/example_com.key; # 私钥文件[^1] # 协议与加密算法配置 ssl_protocols TLSv1.2 TLSv1.3; # 禁用不安全协议（如TLSv1.0）[^3][^4] ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; # 现代加密套件[^3] ssl_prefer_server_ciphers on; # 优先使用服务端加密套件[^3] # 性能优化 ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; # 会话超时时间[^3] # HSTS增强安全（可选但推荐） add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # 强制HTTPS[^4] # 网站根目录配置 root /var/www/html; index index.html; } # HTTP强制跳转HTTPS[^3] server { listen 80; server_name your-domain.com; return 301 https://$host$request_uri; # 301永久重定向 } ``` #### 步骤2：验证配置并重启Nginx ```bash sudo nginx -t # 检查配置文件语法 sudo systemctl restart nginx # 重启生效 ``` #### 步骤3：测试SSL配置 - 访问 [SSL Labs测试工具](https://www.ssllabs.com/ssltest) - 本地测试：`openssl s_client -connect your-domain.com:443` --- ### ⚠️ 常见问题解决 1. **证书链不完整**： - 错误提示：`SSL_CTX_use_certificate_chain_file failed` - 解决方案：将CA证书合并到证书链文件 `cat domain.crt domain.ca.crt > domain.chain.crt`[^1] 2. **HTTP未跳转HTTPS**： - 检查是否重复监听80端口 - 确保`return 301`配置在正确server块中[^3] 3. **本地测试证书**： - 使用 `mkcert` 工具生成本地信任证书： ```bash mkcert -install # 安装CA根证书 mkcert your-domain.local # 生成本地证书[^2] ``` --- ### 💡 高级优化建议 - **启用OCSP装订**：减少SSL握手延迟 ```nginx ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 valid=300s; ``` - **使用Diffie-Hellman密钥交换**： ```bash openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048 ``` 配置中添加：`ssl_dhparam /etc/nginx/ssl/dhparam.pem;`