文档中心
LNMP鐜濡備綍涓€閿坊鍔犺吘璁簯SSL璇佷功锛熸墜鎶婃墜鏁欎綘瀹炵幇HTTPS鍔犲瘑
时间 : 2025-09-27 16:23:09浏览量 : 3

在当今互联网环境中,网站安全已成为重中之重。HTTP明文传输早已被淘汰,HTTPS加密成为标配。对于使用LNMP(Linux + Nginx + MySQL + PHP)环境的站长来说,为网站添加SSL证书是必不可少的步骤。本文将手把手教你如何在LNMP环境下添加腾讯云SSL证书,让你的网站瞬间升级为HTTPS安全连接。
一、为什么要使用SSL证书?
简单来说,SSL证书就像网站的“身份证”和“加密锁”。它有两个核心作用:
1. 身份认证:证明你的网站是真实的,不是钓鱼网站。比如你访问银行官网时,浏览器地址栏会显示小锁标志。
2. 数据加密:所有传输数据都会加密,防止被中间人窃取。比如你登录时输入的密码会被加密传输。
没有SSL证书的网站,浏览器会显示“不安全”警告(如下图),严重影响用户体验和SEO排名。

二、准备工作:获取腾讯云SSL证书
假设你已经在腾讯云申请了免费或付费的SSL证书(操作流程省略),现在你会获得以下文件:
- 域名.crt(证书文件)
- 域名.key(私钥文件)
- 可能还有CA证书链文件
*示例*:如果你的域名是`example.com`,那么你会得到:
- `example.com.crt`
- `example.com.key`
三、LNMP环境配置SSL证书(Nginx为例)
步骤1:上传证书文件
通过FTP或SSH将`.crt`和`.key`文件上传到服务器,建议存放在统一目录:
```bash
mkdir -p /usr/local/nginx/conf/ssl/example.com
cd /usr/local/nginx/conf/ssl/example.com
上传 example.com.crt 和 example.com.key 到此目录
```
步骤2:修改Nginx配置文件
找到你的网站配置文件(通常在`/usr/local/nginx/conf/vhost/域名.conf`),添加以下内容:
```nginx
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/example.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
强制启用TLS1.2以上更安全的协议
ssl_protocols TLSv1.2 TLSv1.3;
推荐的安全加密套件
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384...';
其他原有配置...
}
*关键参数解释*:
- `ssl_certificate`:指向你的CRT文件路径
- `ssl_certificate_key`:指向你的KEY文件路径
- `ssl_protocols`:禁用老旧的TLS1.0/TLS1.1协议
步骤3:HTTP强制跳转HTTPS
在同一个配置文件中添加80端口的跳转规则:
listen 80;
return 301 https://$host$request_uri;
自动跳转到HTTPS
步骤4:重启Nginx生效
nginx -t
测试配置是否正确
service nginx restart
四、常见问题排查
问题1:浏览器提示“证书不受信任”
原因:可能缺少中间CA证书。解决方法是将CA证书链合并到CRT文件中:
cat example.com.crt CA-chain.crt > combined.crt
然后在Nginx中指向合并后的`combined.crt`。
问题2:Nginx启动报错"SSL_CTX_use_PrivateKey"
原因:私钥KEY文件不匹配。检查方法:
openssl x509 -noout -modulus -in example.com.crt | openssl md5
openssl rsa -noout -modulus -in example.com.key | openssl md5
两次输出的MD5值必须一致。
五、高级优化建议
1. 开启OCSP Stapling
减少浏览器验证证书时的延迟:
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
2. 启用HSTS头
强制浏览器只通过HTTPS访问:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
3. 定期更新证书
免费证书通常有效期3个月,建议设置自动续期(可使用Certbot工具)。
通过以上步骤,你的LNMP站点已经成功升级到HTTPS。这不仅提升了安全性,还能改善SEO排名(Google明确表示HTTPS是排名因素之一)。如果遇到问题,记得查看Nginx错误日志(`tail -f /usr/local/nginx/logs/error.log`)获取具体报错信息。
TAG:lnmp添加腾讯云ssl证书,腾讯云域名ssl文件,腾讯云ssl证书到期需要收费吗,腾讯云怎么配置ssl,腾讯云ssl证书怎么安装