作为一名网络安全工程师，我经常需要为内部系统或测试环境快速部署HTTPS加密。今天我要分享的Nginx自签SSL证书方案，就像给自家大门装上一把"临时防盗锁"——虽然不如CA机构颁发的"银行级安全锁"权威，但在特定场景下既经济又实用。

一、为什么需要自签SSL证书？

想象一下这些场景：

1. 开发团队需要测试支付接口，但正式证书还没申请

2. 内网OA系统要加密传输人事档案

3. 物联网设备的本地管理界面

这时自签证书就像"临时身份证"，既能实现加密传输，又免去了购买证书的成本和等待时间。不过要注意：浏览器会警告这类证书不受信任，所以不适合生产环境对外服务。

二、OpenSSL实战：5步生成自签证书

让我们用OpenSSL这个"数字证书工厂"开始制作：

```bash

第1步：生成2048位的RSA私钥（相当于保险箱钥匙）

openssl genrsa -out server.key 2048

第2步：创建证书签名请求(CSR)

openssl req -new -key server.key -out server.csr

这里会交互式填写信息，比如：

Country Name (2 letter code) [AU]:CN

Common Name (e.g. server FQDN): *.yourdomain.com

第3步：自签名生成crt证书（自己给自己盖章）

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

```

关键参数解析：

- `-days 365`：设置1年有效期（测试环境建议不超过90天）

- `Common Name`：必须匹配实际域名或用通配符`*`

- `SHA-256`：默认使用的哈希算法，比旧的MD5更安全

三、Nginx配置HTTPS完整示例

有了证书文件后，修改Nginx配置（通常位于`/etc/nginx/sites-enabled/default`）：

```nginx

server {

listen 443 ssl;

server_name test.yourdomain.com;

证书路径（根据实际存放位置修改）

ssl_certificate /path/to/server.crt;

ssl_certificate_key /path/to/server.key;

安全增强配置

ssl_protocols TLSv1.2 TLSv1.3;

禁用不安全的TLS1.0/1.1

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

ssl_prefer_server_ciphers on;

其他常规配置

root /var/www/html;

index index.html;

}

重载Nginx使配置生效：

sudo nginx -t

测试配置语法

sudo systemctl reload nginx

四、浏览器信任自签证书技巧

看到浏览器的红色警告别慌，我们可以手动添加信任：

Chrome/Firefox操作流程：

1. 将生成的`server.crt`导入操作系统受信任的根证书颁发机构

- Windows：双击.crt文件 → "安装证书" → "本地计算机" → "受信任的根证书颁发机构"

- Mac：钥匙串访问 → 拖入文件 → 右键选择"始终信任"

2. 重要安全提醒：千万不要随意导入不明来源的自签证书！

五、高级安全加固方案

对于更严苛的安全要求，可以：

1. 设置OCSP装订（在线证书状态检查）：

```nginx

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

```

2. 启用HSTS强制HTTPS：

```nginx

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";

3. 定期轮换密钥（推荐每90天）：

```bash

openssl rand -hex 16 > passphrase.txt

openssl genrsa -aes128 -passout file:passphrase.txt -out new.key

FAQ常见问题排查

Q1: Chrome报错"NET::ERR_CERT_AUTHORITY_INVALID"

A: Chrome缓存了旧证书指纹 → `chrome://net-internals/

hsts`删除域名记录

Q2: Nginx启动报"SSL handshake failed"

A:

```bash

openssl verify server.crt

检查证书链完整性

nginx -t

检查配置文件路径

Q3: iOS设备无法信任证书？

A: iOS要求使用PKCS

12格式(.p12)，转换命令：

openssl pkcs12 -export -in server.crt -inkey server.key -out ios.p12

通过这套方案，我们实现了从零构建一个加密通信通道的全过程。虽然自签证书在公网环境中存在明显的信任缺陷，但在可控的内部环境中仍是性价比极高的安全解决方案。记得定期更新密钥哦！

TAG:nginx自签ssl证书创建及配置方法,nginx配置证书链,nginx ssl pem,nginx自签名证书,nginx添加ssl证书