在今天的互联网环境中，HTTPS早已成为网站安全的标配。它不仅保护用户数据不被窃取，还能提升搜索引擎排名（Google明确表示HTTPS是排名因素之一）。而Nginx作为一款高性能的Web服务器，配置HTTPS的关键一步就是生成和部署SSL/TLS证书。本文将用最通俗的语言，带你一步步完成Nginx的HTTPS证书生成与配置，涵盖免费证书（Let's Encrypt）和自签名证书两种常见场景，并解释背后的安全原理。

一、为什么要用HTTPS？先搞懂“裸奔”的风险

想象一下：你登录一个网站输入密码，如果这个网站用的是HTTP（没有S），你的密码就像写在明信片上邮寄出去——任何中途截获的人都能看到。而HTTPS的作用就是给这张“明信片”加了个保险箱：

- 加密传输：数据变成乱码，只有你和服务器能解密（比如信用卡号、登录凭证）。

- 身份验证：浏览器会检查证书，确认你访问的是“真正的淘宝”而不是“高仿钓鱼网站”。

- SEO加分：Google等搜索引擎优先展示HTTPS网站。

反面案例：2025年，美国某大型连锁酒店因为未启用HTTPS，导致客户预订信息泄露，最终被罚款数百万美元。

二、Nginx HTTPS证书的两种生成方式

方案1：免费证书——Let's Encrypt（适合生产环境）

Let's Encrypt是一个公益组织提供的免费证书，有效期90天，但支持自动续期。它的核心工具是`certbot`。

操作步骤（以Ubuntu为例）：

1. 安装certbot：

```bash

sudo apt update && sudo apt install certbot python3-certbot-nginx

```

2. 一键生成证书（Nginx插件自动配置）：

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

按照提示输入邮箱、同意协议后，证书会自动部署到Nginx！

3. 验证是否生效：

访问 `https://yourdomain.com` ，如果浏览器地址栏显示小锁标志，说明成功。

原理揭秘：Let's Encrypt通过ACME协议验证你对域名的控制权（比如在网站根目录放一个特定文件），然后签发证书。全程自动化，无需人工审核。

方案2：自签名证书（适合测试/内网环境）

自签名证书最大的问题是浏览器会提示“不安全”（因为它没有受信任的第三方CA签发），但内部测试完全够用。

操作步骤：

1. 生成私钥和CSR（证书请求文件）：

openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr

会提示输入国家、域名等信息（测试时可随意填写）。

2. 自签名证书生成：

openssl x509 -signkey server.key -in server.csr -req -days 365 -out server.crt

3. Nginx配置示例：

修改Nginx配置文件（通常位于`/etc/nginx/sites-available/default`）：

```nginx

server {

listen 443 ssl;

ssl_certificate /path/to/server.crt;

ssl_certificate_key /path/to/server.key;

其他配置...

}

三、进阶安全优化——让HTTPS更坚固

光有证书还不够！通过以下配置提升安全性：

1. 强制HTTP跳转HTTPS（避免用户误访问明文版本）：

listen 80;

server_name yourdomain.com;

return 301 https://$host$request_uri;

2. 启用HSTS（告诉浏览器“以后只许用HTTPS连接我”）：

在Nginx的SSL配置块中添加：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

3. 禁用老旧协议（如不安全的TLS 1.0/1.1）：

ssl_protocols TLSv1.2 TLSv1.3;

```

四、常见问题排查指南

- 问题1: Nginx重启报错 `SSL_CTX_use_PrivateKey_file failed`

原因: 私钥和证书不匹配。解决：重新生成或检查文件路径。

- 问题2: Chrome提示“NET::ERR_CERT_AUTHORITY_INVALID”

原因: 自签名证书未被信任。解决：点击高级→继续访问（仅限测试），生产环境必须用可信CA的证书。

：“小成本”换来“大安全”

无论是个人博客还是企业官网，启用HTTPS的成本已经极低（Let's Encrypt完全免费）。按照本文步骤操作后，你的Nginx服务器将获得现代Web安全的基石保护。如果你对更复杂的场景感兴趣（如通配符证书、OCSP装订等），欢迎关注后续文章！

TAG:nginx https生成证书,nginx配置证书链,nginx配置ssl证书,nginx ssl证书申请