在当今互联网时代，HTTPS已经成为网站安全的标配。它不仅能够保护用户数据的安全，还能提升网站在搜索引擎中的排名。而Nginx作为一款高性能的Web服务器，广泛应用于各类网站中。本文将详细介绍如何在Nginx上制作和配置HTTPS证书，让你的网站更加安全可靠。

一、为什么需要HTTPS？

HTTP是明文传输协议，数据在传输过程中容易被窃取或篡改。比如，你在一个HTTP网站上输入银行卡号和密码，黑客可以通过中间人攻击（MITM）轻松截获这些信息。而HTTPS通过加密技术（如SSL/TLS）解决了这个问题，确保数据在传输过程中的安全性。

举个实际例子：

假设你开了一家电商网站，用户需要登录并支付。如果使用HTTP，黑客可能在用户提交支付信息时截获数据；而使用HTTPS后，即使数据被截获，黑客也无法解密内容。

二、HTTPS证书的类型

HTTPS证书主要分为以下几种：

1. 自签名证书：免费且可以自己生成，但浏览器会提示“不安全”，适合内部测试环境。

2. DV（域名验证）证书：验证域名所有权即可签发，适合个人博客或小型网站。

3. OV（组织验证）证书：需要验证企业信息，安全性更高，适合企业官网。

4. EV（扩展验证）证书：最高级别的证书，浏览器地址栏会显示公司名称，适合银行、金融类网站。

对于大多数个人和小型企业来说，DV证书（如Let's Encrypt提供的免费证书）已经完全够用。

三、Nginx HTTPS证书制作步骤

1. 生成自签名证书（测试环境用）

如果你只是想在本地或测试环境体验HTTPS效果，可以自己生成一个自签名证书。

```bash

生成私钥

openssl genrsa -out nginx.key 2048

生成CSR（证书签名请求）

openssl req -new -key nginx.key -out nginx.csr

生成自签名证书（有效期365天）

openssl x509 -req -days 365 -in nginx.csr -signkey nginx.key -out nginx.crt

```

生成的`nginx.crt`和`nginx.key`就是你的证书和私钥文件。

2. 申请Let's Encrypt免费证书（生产环境推荐）

Let's Encrypt是一个免费的CA机构，提供90天有效期的DV证书（可自动续期）。

安装Certbot工具：

sudo apt install certbot python3-certbot-nginx

申请并自动配置Nginx：

sudo certbot --nginx -d yourdomain.com

Certbot会自动帮你完成域名验证、证书签发和Nginx配置更新。

四、Nginx HTTPS配置示例

拿到证书后（假设是`/etc/letsencrypt/live/yourdomain.com/`下的文件），需要在Nginx配置中添加以下内容：

```nginx

server {

listen 443 ssl;

server_name yourdomain.com;

ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

启用TLS 1.2和1.3（禁用不安全的旧版本）

ssl_protocols TLSv1.2 TLSv1.3;

优化加密套件

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

其他配置...

}

强制HTTP跳转HTTPS

为了防止用户误访问HTTP版本，可以添加301重定向：

listen 80;

return 301 https://$host$request_uri;

五、常见问题排查

1. 浏览器提示“不安全”

- 检查证书是否过期（Let's Encrypt每90天需续期）。

- 确保证书链完整（使用`fullchain.pem`而非单独`.crt`文件）。

2. Nginx报错“SSL handshake failed”

- 可能是加密套件不兼容客户端浏览器。

- 解决方法：更新Nginx配置中的`ssl_ciphers`为更通用的选项。

3. 如何测试HTTPS安全性？

使用[SSL Labs](https://www.ssllabs.com/ssltest/)在线工具扫描你的域名，它会给出评分和改进建议。

六、

通过本文的学习，你应该已经掌握了在Nginx上制作和配置HTTPS证书的方法。无论是自签名测试还是生产环境部署Let's Encrypt免费证书，都能显著提升网站的安全性。记住以下几点：

- HTTPS不是可选项而是必选项。

- Let's Encrypt是最简单实惠的选择。

- 定期检查SSL/TLS配置是否过时。

现在就去为你的网站开启HTTPS吧！如果有任何疑问欢迎留言讨论。

TAG:nginx https证书制作,nginx配置cer证书,nginx部署证书,nginx ca证书