****

在今天的互联网世界中，数据安全是重中之重。无论是个人博客还是企业官网，使用SSL证书对网站进行加密已经成为标配。作为一款高性能的Web服务器，Nginx在配置SSL证书时有哪些需要注意的地方？本文将用大白话带你一步步搞定Nginx的SSL证书配置，并通过实际案例帮你避坑。

一、SSL证书是什么？为什么你的网站需要它？

简单来说，SSL证书就像网站的“身份证”+“保险箱”。它有两个核心作用：

1. 身份认证：证明你的网站是真的“淘宝.com”，而不是钓鱼网站

2. 数据加密：让用户浏览器和服务器之间的通信变成加密通话

没有SSL证书的网站：

- 浏览器会显示“不安全”警告（Chrome已全面标记HTTP站点为不安全）

- 用户输入的密码、信用卡号可能被中间人窃取

- SEO排名会受影响（Google明确表示HTTPS是排名因素）

真实案例：

某电商平台未启用HTTPS，黑客在公共WiFi下轻松截获了用户的登录cookie，导致大量账户被盗。部署SSL证书后，类似攻击完全失效。

二、获取SSL证书的三种常见方式

1. 免费证书 - Let's Encrypt（适合个人和小企业）

```bash

使用certbot工具自动获取（以Ubuntu为例）

sudo apt install certbot python3-certbot-nginx

sudo certbot --nginx -d yourdomain.com

```

自动完成：

- 域名验证

- 证书签发

- Nginx配置更新

- 自动续期设置

2. 商业付费证书（适合企业级需求）

推荐品牌：

- DigiCert（高端首选）

- Sectigo（性价比高）

- GeoTrust（中端市场）

特点：

- 提供更高保额（如100万美元赔付）

- 支持更复杂的验证方式（OV/EV证书）

- 兼容性更有保障

3. 自签名证书（仅限测试环境）

```nginx

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \

-keyout /etc/ssl/private/selfsigned.key \

-out /etc/ssl/certs/selfsigned.crt

注意：浏览器会显示安全警告，绝对不要在生产环境使用！

三、Nginx配置SSL的核心步骤（附最佳实践）

基础配置示例：

server {

listen 443 ssl;

server_name example.com;

ssl_certificate /path/to/cert.pem;

CRT文件路径

ssl_certificate_key /path/to/key.key;

KEY文件路径

TLS协议配置（禁用不安全的旧版本）

ssl_protocols TLSv1.2 TLSv1.3;

SSL会话缓存优化

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

}

必须做的安全加固：

1. 禁用过时协议：

```nginx

ssl_protocols TLSv1.2 TLSv1.3;

彻底关闭TLSv1.0/1.1

```

2. 选择强加密套件：

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

3. 开启HSTS头（防降级攻击）：

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

4. OCSP装订优化（加快握手速度）：

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

四、常见问题解决方案

Q1：混合内容警告怎么办？

现象：虽然启用了HTTPS，但页面仍然显示黄色三角警告。

原因：网页中引用了HTTP资源（如图片、JS脚本）

解决方案：

```html

Q2：如何强制HTTP跳转HTTPS？

listen 80;

return 301 https://$host$request_uri;

永久重定向

Q3：多域名如何配置？

SNI技术允许一个IP托管多个HTTPS站点：

```nginx

listen 443 ssl;

server_name site1.com;

ssl_certificate /path/to/site1.crt;

...

listen 443 ssl;

server_name site2.com;

ssl_certificate /path/to/site2.crt;

五、性能优化技巧

1.启用TLS会话复用

ssl_session_tickets on;

减少TLS握手开销

2.开启Brotli压缩

```bash

sudo apt install brotli nginx-module-brotli

可减少JS/CSS文件30%以上传输体积

3.HTTP/2必开

listen443sslhttp2;

比HTTP/1.1快50%+

六、监控与维护

定期检查命令:

检查有效期(提前预警续期)

sudocertbotcertificates

测试SSL配置质量(满分A+为佳)

ssllabs.com/ssltest

查看当前使用的协议版本

openssls_client -connect example.com:443 -tlsextdebug -status | grep "Protocol"

建议设置日历提醒:

?每60天检查Let'sEncrypt自动续期是否正常

?每年更新商业证书(如有)

?每季度复查ssl-config参数

通过以上步骤,你的Nginx服务器将同时具备高安全性和优秀性能。遇到具体问题时,建议使用`nginx -t`测试配置语法,并查看`error.log`定位问题。现在就去给你的网站加上这把"安全锁"吧!

TAG:nginx服务器ssl证书,nginx ssl_ciphers,nginx ssl pem,nginx安装ssl证书,nginx sslv3