在当今互联网环境中，网站安全已成为重中之重。HTTPS协议通过SSL/TLS加密保护数据传输，而Nginx作为一款高性能的Web服务器，如何正确配置SSL证书（尤其是CA颁发的可信证书）是每个运维人员的必修课。本文将以“小白也能懂”的方式，手把手教你完成Nginx的SSL配置，并通过实际案例解析常见问题。

一、SSL证书与CA机构：为什么它们重要？

场景类比：

想象你要寄一封机密信件。如果直接用明信片（HTTP），任何人都能偷看内容；但若把信锁进保险箱（HTTPS），只有持有钥匙（证书）的收件人才能打开。而CA（Certificate Authority）就像“公证处”，负责验证你的身份并签发“保险箱合格证明”（SSL证书）。

关键点：

- 自签名证书：相当于自己造了一把锁，浏览器会提示“不安全”（如开发环境）。

- CA证书：由DigiCert、Let’s Encrypt等权威机构签发，浏览器显示绿色小锁（如生产环境）。

示例：

访问银行网站时，若地址栏显示??和银行名称（如“中国工商银行”），说明它使用了EV SSL证书（Extended Validation），CA已严格验证企业身份。

二、实战：Nginx配置CA证书的4个步骤

1. 获取CA证书

以Let’s Encrypt免费证书为例（适合个人和小型企业）：

```bash

安装Certbot工具

sudo apt install certbot python3-certbot-nginx

自动申请并配置证书（需域名已解析）

sudo certbot --nginx -d example.com

```

执行后你会得到：

- 证书文件：`/etc/letsencrypt/live/example.com/fullchain.pem`

- 私钥文件：`/etc/letsencrypt/live/example.com/privkey.pem`

2. Nginx基础SSL配置

编辑Nginx配置文件（通常位于`/etc/nginx/sites-available/default`）：

```nginx

server {

listen 443 ssl;

server_name example.com;

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

强制使用TLS 1.2及以上版本（更安全）

ssl_protocols TLSv1.2 TLSv1.3;

location / {

root /var/www/html;

index index.html;

}

}

3. HTTP重定向到HTTPS（强制加密）

避免用户意外访问明文HTTP：

listen 80;

return 301 https://$host$request_uri;

永久跳转

4. 高级加固配置（OCSP Stapling/HSTS）

- OCSP Stapling：让服务器代替浏览器查询证书吊销状态，加快访问速度。

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

- HSTS：强制浏览器未来只通过HTTPS访问，防降级攻击。

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

三、避坑指南：常见问题与解决方案

问题1: 浏览器提示“证书不受信任”

可能原因：

- CA根证书未正确安装（尤其企业内签发的私有CA）。

解决：将CA的根证书追加到`fullchain.pem`中。

问题2: Nginx报错“SSL_CTX_use_PrivateKey_file”失败

- 私钥文件与证书不匹配。

检查命令：

openssl x509 -noout -modulus -in fullchain.pem | openssl md5

openssl rsa -noout -modulus -in privkey.pem | openssl md5

两次输出的MD5值必须一致！

问题3: Let’s Encrypt续期失败

Certbot默认自动续期，但若手动操作需注意：

sudo certbot renew --dry-run

测试续期

sudo systemctl reload nginx

续期后重载配置

四、企业级场景扩展

对于金融或政务系统，还需考虑：

1. 双向SSL认证：客户端也需提供证书（如手机银行APP）。

Nginx配置示例：

```nginx

ssl_client_certificate /path/to/client-ca.crt;

ssl_verify_client on;

```

2. 硬件安全模块(HSM) ：将私钥存储在专用硬件中，防服务器入侵导致密钥泄露。

****

通过本文，你已掌握Nginx SSL配置的核心流程——从选择CA机构到高级安全加固。记住三个关键原则：

1. 永远使用可信CA的证书（避开自签名陷阱）。

2. 定期更新和检查证书状态（如Let’s Encrypt每90天续期）。

3. 开启现代加密协议（禁用TLS 1.0/1.1等老旧版本）。

下一步建议用[SSL Labs测试工具](https://www.ssllabs.com/)扫描你的网站，查漏补缺！

TAG:nginx ssl ca证书,linux nginx ssl证书,nginx ssl证书申请,nginx ssl pem,nginx配置ca证书,nginxssl证书配置