ssl新闻资讯

文档中心

LNMP鐜濡備綍涓€閿坊鍔犺吘璁簯SSL璇佷功锛熸墜鎶婃墜鏁欎綘瀹炵幇HTTPS鍔犲瘑

时间 : 2025-09-27 16:23:09浏览量 : 3

2LNMP鐜濡備綍涓€閿坊鍔犺吘璁簯SSL璇佷功锛熸墜鎶婃墜鏁欎綘瀹炵幇HTTPS鍔犲瘑

在当今互联网环境中,网站安全已成为重中之重。HTTP明文传输早已被淘汰,HTTPS加密成为标配。对于使用LNMP(Linux + Nginx + MySQL + PHP)环境的站长来说,为网站添加SSL证书是必不可少的步骤。本文将手把手教你如何在LNMP环境下添加腾讯云SSL证书,让你的网站瞬间升级为HTTPS安全连接。

一、为什么要使用SSL证书?

简单来说,SSL证书就像网站的“身份证”和“加密锁”。它有两个核心作用:

1. 身份认证:证明你的网站是真实的,不是钓鱼网站。比如你访问银行官网时,浏览器地址栏会显示小锁标志。

2. 数据加密:所有传输数据都会加密,防止被中间人窃取。比如你登录时输入的密码会被加密传输。

没有SSL证书的网站,浏览器会显示“不安全”警告(如下图),严重影响用户体验和SEO排名。

![HTTP不安全警告示例](https://example.com/unsafe-warning.png)

二、准备工作:获取腾讯云SSL证书

假设你已经在腾讯云申请了免费或付费的SSL证书(操作流程省略),现在你会获得以下文件:

- 域名.crt(证书文件)

- 域名.key(私钥文件)

- 可能还有CA证书链文件

*示例*:如果你的域名是`example.com`,那么你会得到:

- `example.com.crt`

- `example.com.key`

三、LNMP环境配置SSL证书(Nginx为例)

步骤1:上传证书文件

通过FTP或SSH将`.crt`和`.key`文件上传到服务器,建议存放在统一目录:

```bash

mkdir -p /usr/local/nginx/conf/ssl/example.com

cd /usr/local/nginx/conf/ssl/example.com

上传 example.com.crt 和 example.com.key 到此目录

```

步骤2:修改Nginx配置文件

找到你的网站配置文件(通常在`/usr/local/nginx/conf/vhost/域名.conf`),添加以下内容:

```nginx

server {

listen 443 ssl;

server_name example.com www.example.com;

ssl_certificate /usr/local/nginx/conf/ssl/example.com/example.com.crt;

ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;

强制启用TLS1.2以上更安全的协议

ssl_protocols TLSv1.2 TLSv1.3;

推荐的安全加密套件

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384...';

其他原有配置...

}

*关键参数解释*:

- `ssl_certificate`:指向你的CRT文件路径

- `ssl_certificate_key`:指向你的KEY文件路径

- `ssl_protocols`:禁用老旧的TLS1.0/TLS1.1协议

步骤3:HTTP强制跳转HTTPS

在同一个配置文件中添加80端口的跳转规则:

listen 80;

return 301 https://$host$request_uri;

自动跳转到HTTPS

步骤4:重启Nginx生效

nginx -t

测试配置是否正确

service nginx restart

四、常见问题排查

问题1:浏览器提示“证书不受信任”

原因:可能缺少中间CA证书。解决方法是将CA证书链合并到CRT文件中:

cat example.com.crt CA-chain.crt > combined.crt

然后在Nginx中指向合并后的`combined.crt`。

问题2:Nginx启动报错"SSL_CTX_use_PrivateKey"

原因:私钥KEY文件不匹配。检查方法:

openssl x509 -noout -modulus -in example.com.crt | openssl md5

openssl rsa -noout -modulus -in example.com.key | openssl md5

两次输出的MD5值必须一致。

五、高级优化建议

1. 开启OCSP Stapling

减少浏览器验证证书时的延迟:

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

2. 启用HSTS头

强制浏览器只通过HTTPS访问:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

3. 定期更新证书

免费证书通常有效期3个月,建议设置自动续期(可使用Certbot工具)。

通过以上步骤,你的LNMP站点已经成功升级到HTTPS。这不仅提升了安全性,还能改善SEO排名(Google明确表示HTTPS是排名因素之一)。如果遇到问题,记得查看Nginx错误日志(`tail -f /usr/local/nginx/logs/error.log`)获取具体报错信息。

TAG:lnmp添加腾讯云ssl证书,腾讯云域名ssl文件,腾讯云ssl证书到期需要收费吗,腾讯云怎么配置ssl,腾讯云ssl证书怎么安装