在当今互联网环境中，HTTPS已成为网站安全的标配。作为最流行的Web服务器之一，Nginx的SSL证书配置是每个运维人员的必修课。本文将用最通俗的语言，结合真实案例，带你彻底掌握Nginx SSL证书的使用技巧。

一、SSL证书是什么？为什么需要它？

想象一下你要给朋友寄一封机密信件（比如银行账号）。如果直接用明信片邮寄（HTTP），任何人都能中途偷看。但如果你把信锁进保险箱（HTTPS），只有持有钥匙的人才能打开——这就是SSL证书的作用。

真实案例：2025年某电商平台因未启用HTTPS，导致用户支付页面被劫持，攻击者通过公共WiFi篡改支付金额，造成数百万损失。

二、SSL证书的三种类型

1. DV证书（域名验证）

就像身份证复印件，只验证域名所有权。适合个人博客（如Let's Encrypt免费证书）。

```bash

申请Let's Encrypt证书示例

sudo certbot --nginx -d example.com

```

2. OV证书（组织验证）

类似营业执照，会验证企业真实性。银行官网常用（如DigiCert OV）。

3. EV证书（扩展验证）

最高级认证，浏览器地址栏会显示公司名称（比如支付宝使用的GeoTrust EV）。

三、Nginx配置SSL全步骤

步骤1：获取证书文件

购买或申请免费证书后，你会得到：

- `domain.crt`（公钥）

- `domain.key`（私钥）

- 可能还有CA颁发的中间证书`ca_bundle.crt`

步骤2：合并证书链

```bash

cat domain.crt ca_bundle.crt > combined.crt

```

步骤3：Nginx关键配置

```nginx

server {

listen 443 ssl;

server_name example.com;

ssl_certificate /path/to/combined.crt;

合并后的证书

ssl_certificate_key /path/to/domain.key;

私钥

强化安全设置

ssl_protocols TLSv1.2 TLSv1.3;

禁用老旧协议

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

ssl_prefer_server_ciphers on;

HSTS头(强制HTTPS)

add_header Strict-Transport-Security "max-age=63072000" always;

}

常见坑点：某程序员曾因忘记合并中间证书，导致Android手机访问时出现"不受信任的证书"警告。

四、高级优化技巧

1. OCSP装订提升性能

传统验证方式需要浏览器联系CA查询证书状态，这会拖慢速度。OCSP装订让Nginx提前获取并缓存验证结果：

ssl_stapling on;

ssl_stapling_verify on;

ssl_trusted_certificate /path/to/ca_bundle.crt;

2. HTTP自动跳转HTTPS

listen 80;

return 301 https://$host$request_uri;

301永久重定向

3. 多域名配置方案

如果托管多个网站：

listen 443 ssl default_server;

ssl_certificate /path/to/wildcard.crt;

通配符证书

ssl_certificate_key /path/to/wildcard.key;

server_name ~^(?.+)\.example\.com$;

root /var/www/$subdomain;

五、定期维护要点

1. 到期监控：用脚本自动检测（90%的SSL问题源于过期）

echo | openssl s_client -connect example.com:443 | openssl x509 -noout -dates

2. 密钥轮换：每6个月更换私钥防止破解

3. 漏洞检查：使用Qualys SSL Labs测试评分（https://www.ssllabs.com/ssltest/）

六、故障排查锦囊

? 症状：浏览器提示"不安全连接"

?? *检查*：确保证书链完整、域名完全匹配

? 症状："ERR_SSL_VERSION_OR_CIPHER_MISMATCH"

?? *解决*：更新ssl_protocols排除SSLV3等老旧协议

? **症状*："NET::ERR_CERT_COMMON_NAME_INVALID"

?? *原因*：SAN（主题备用名称）未包含当前访问的域名

通过以上步骤，你的Nginx服务器将建立起金融级的安全通信通道。记住一个原则："配置SSL不是终点，而是安全建设的起点"。定期更新、监控和优化才能确保长期安全。

TAG:nginx ssl证书使用,linux nginx ssl证书,nginx ssl证书生成,nginxssl证书配置,nginx ssl_preread,nginx ssl配置详解