作为网站管理员，你是否遇到过这些困扰：用户登录时浏览器弹出"不安全"警告？搜索引擎排名因为没启用HTTPS而下降？别担心，今天我就用最直白的方式，手把手教你如何在Nginx+PHP环境中配置HTTPS证书。

一、HTTPS证书到底是什么？

简单说，HTTPS证书就像网站的"身份证"。当用户访问你的网站时，浏览器会先检查这个"身份证"是否真实有效。如果是真的，就会建立加密连接；如果是假的，就会警告用户。

举个例子：你去银行办业务，柜员要先看你的身份证。HTTPS证书就是网站在互联网上的"身份证"，让用户知道他们访问的是真实的你，而不是钓鱼网站。

常见的证书类型有：

- DV证书（域名验证）：最基础，只需验证域名所有权

- OV证书（组织验证）：会验证企业真实性

- EV证书（扩展验证）：最高级，浏览器地址栏会显示公司名称

二、准备工作：获取SSL证书

1. 免费获取Let's Encrypt证书

现在很多云服务商都提供免费证书。以腾讯云为例：

```bash

sudo apt install certbot python3-certbot-nginx

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

```

这三行命令就能自动获取并安装证书！Certbot会自动修改Nginx配置。

2. 商业证书申请流程

如果需要更高级别的OV/EV证书：

1. 在证书提供商(如DigiCert)下单

2. 提交企业证明材料

3. 完成域名所有权验证（通常是添加DNS记录）

4. 下载颁发的证书文件

三、Nginx配置实战演示

假设我们已经拿到了以下文件：

- 域名证书：yourdomain.crt

- 私钥文件：yourdomain.key

- CA中间证书：ca_bundle.crt

基础配置示例

```nginx

server {

listen 443 ssl;

server_name yourdomain.com;

ssl_certificate /path/to/yourdomain.crt;

ssl_certificate_key /path/to/yourdomain.key;

PHP处理配置

location ~ \.php$ {

include snippets/fastcgi-php.conf;

fastcgi_pass unix:/run/php/php7.4-fpm.sock;

}

其他安全设置...

}

关键安全优化项

1. 强制HTTPS跳转 - 让所有HTTP请求自动跳转到HTTPS：

listen 80;

return 301 https://$host$request_uri;

2. 启用HSTS - 告诉浏览器以后都只用HTTPS访问：

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

3. 加密套件优化 -禁用不安全的旧协议：

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256';

四、PHP应用的特殊处理

启用HTTPS后，PHP应用可能需要调整：

1. 解决混合内容问题

如果页面中有通过HTTP加载的资源（图片、JS等），浏览器仍会显示"不安全"。解决方法：

```php

// WordPress示例：在wp-config.php添加

define('FORCE_SSL_ADMIN', true);

$_SERVER['HTTPS'] = 'on';

2. API接口适配

如果PHP应用提供API接口：

// Laravel示例：确保生成HTTPS链接

URL::forceScheme('https');

3. Session安全设置

ini_set('session.cookie_secure', '1');

ini_set('session.cookie_httponly', '1');

ini_set('session.use_strict_mode', '1');

五、常见问题排查指南

Q: HTTPS配置后网站打不开？

→检查443端口是否开放 `sudo ufw allow https`

Q: Chrome显示"您的连接不是私密连接"？

→可能是证书链不完整 `cat ca_bundle.crt >> yourdomain.crt`

Q: PHP页面加载异常？

→检查fastcgi_param HTTPS设置：

```nginx

fastcgi_param HTTPS $https if_not_empty;

六、进阶安全加固建议（专业向）

1. OCSP装订 -加速证书验证：

```nginx

ssl_stapling on;

ssl_stapling_verify on;

```

2. HPKP头防护 (注意：已逐步被淘汰)：

add_header Public-Key-Pins 'pin-sha256="base64=="; max-age=5184000';

3.TLS会话复用优化性能：

ssl_session_cache shared:SSL:10m;

ssl_session_timeout24h;

按照这个指南操作后，你的网站在SSL Labs测试中至少能获得A评级！如果遇到具体问题，欢迎在评论区留言讨论。记住：在当今网络环境下，HTTPS不是可选项而是必选项——它不仅能保护用户数据安全，还能提升SEO排名和用户信任度。

TAG:nginx php https 证书,nginx 证书生成,nginx证书配置,nginx+php,nginx ssl证书