在当今网络安全威胁日益严峻的环境下，为网站启用HTTPS加密已成为基本要求。作为最常用的Web服务器组合，Nginx+Tomcat如何正确配置SSL证书？本文将用运维工程师的实战视角，带你一步步完成配置，并深入讲解关键安全原理。

一、为什么必须使用HTTPS？

想象一下：用户在网上银行输入密码时，如果数据以明文传输（HTTP），就像用明信片邮寄银行卡密码。而HTTPS相当于给这张明信片装上了防弹保险箱：

1. 加密传输：SSL证书建立安全隧道，即使数据被截获也无法解密

2. 身份认证：防止"中间人攻击"，比如假冒的银行网站

3. SEO优势：Google明确将HTTPS作为搜索排名因素

4. 合规要求：PCI DSS等安全标准强制要求HTTPS

典型案例：2025年某航空公司网站未启用HTTPS，导致38万用户订单信息泄露，被罚款1.83亿人民币。

二、准备工作清单

在开始配置前需要准备：

| 材料 | 说明 | 示例 |

||||

| 域名证书 | 从CA机构购买或申请免费证书 | Let's Encrypt、DigiCert |

| Nginx服务器 | 版本建议1.15+ | /etc/nginx/nginx.conf |

| Tomcat服务器 | 版本建议8.5+ | /opt/tomcat/conf/server.xml |

| 私钥文件 | 证书配套的.key文件 | domain.key |

| 证书链文件 | CA提供的中间证书 | chain.crt |

> ?? 免费证书推荐：Let's Encrypt（90天有效期）或阿里云/腾讯云的免费DV证书

三、Nginx层配置SSL（核心步骤）

3.1 基础配置模板

编辑Nginx配置文件（通常位于`/etc/nginx/conf.d/your_site.conf`）：

```nginx

server {

listen 443 ssl;

server_name www.yourdomain.com;

SSL证书路径

ssl_certificate /path/to/fullchain.pem;

CRT文件+中间证书

ssl_certificate_key /path/to/private.key;

私钥文件

SSL协议优化配置

ssl_protocols TLSv1.2 TLSv1.3;

禁用不安全的TLS1.0/1.1

ssl_prefer_server_ciphers on;

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

location / {

proxy_pass http://tomcat_server;

反向代理到Tomcat

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

}

}

```

3.2 关键安全参数解析

- ssl_protocols：只允许TLS1.2+，禁用已爆出漏洞的SSLv3和TLS1.0

- ssl_ciphers：采用前向保密算法组，即使私钥泄露历史通信也不会被解密

- HSTS头（可选）：添加`add_header Strict-Transport-Security "max-age=63072000"`强制浏览器使用HTTPS

测试命令：

```bash

nginx -t

检查配置语法

systemctl reload nginx

平滑重启

四、Tomcat适配调整方案

虽然Nginx已经处理了SSL加解密,但Tomcat仍需进行以下调整:

4.1 server.xml关键修改

```xml

proxyPort="443"

scheme="https"

secure="true"

proxyName="www.yourdomain.com"/>

4.2 Cookie安全加固

在web.xml中添加安全标记:

true

true

五、实战排错指南

常见问题及解决方案:

1?? 混合内容警告

现象: HTTPS页面加载HTTP资源(图片/JS)

修复:

- Chrome开发者工具→Security标签查看具体资源

- WordPress等CMS需设置`WP_HOME`和`WP_SITEURL`为https://

2?? ERR_SSL_VERSION_OR_CIPHER_MISMATCH

检查方向:

openssl s_client -connect yourdomain.com:443 -tls1_2

测试协议支持性

可能原因:

- Nginx配置了不兼容的Cipher Suite

- CDN未开启TLS1.2支持

3?? OCSP装订失效

验证命令:

openssl s_client -connect yourdomain.com:443 -status -servername yourdomain.com

预期看到:`OCSP Response Status: successful`

六、高级安全加固建议

完成基础部署后,建议进一步:

? 启用Certificate Transparency

在Nginx添加CT日志提交:

ssl_ct on;

ssl_ct_static_scts /path/to/sct/directory;

? 部署CAA记录(防止非法签发)

DNS添加记录:

yourdomain.com CAA 0 issue "digicert.com"

? 定期轮换密钥

建议每3个月更新ECC密钥对:

openssl ecparam -genkey -name prime256v1 -out new.key

通过以上步骤,你的Nginx+Tomcat架构不仅实现了HTTPS加密,更达到了金融级的安全水准。记住网络安全没有终点,定期检查SSL Labs评级(https://www.ssllabs.com/ssltest/)保持最佳实践。

TAG:nginx tomcat ssl证书,nginxssl证书配置,nginx的ssl,nginx ssl证书申请