在当今互联网环境中，HTTPS已经成为网站安全的基本要求。作为最流行的Web服务器之一，Nginx配置SSL证书是每个运维人员的必修课。本文将以"申请-验证-安装-优化"为主线，用最通俗的语言配合实操案例，带你彻底掌握Nginx的HTTPS配置技巧。

一、SSL证书类型选择（含真实场景建议）

1. 免费证书推荐

- Let's Encrypt：适合个人博客、测试环境（90天有效期）

```bash

典型获取命令示例

sudo certbot --nginx -d example.com -d www.example.com

```

- 阿里云/腾讯云免费DV证书：国内访问速度更优（1年有效期）

2. 付费证书场景

- OV企业验证证书：电商支付页面（显示公司名称）

- EV增强验证证书：银行官网（地址栏变绿）

*实战经验*：某金融客户因使用自签名证书导致用户流失，更换为DigiCert EV证书后转化率提升17%。

二、Nginx配置关键步骤分解

2.1 基础配置模板（带安全加固）

```nginx

server {

listen 443 ssl http2;

启用HTTP/2提升性能

server_name example.com;

ssl_certificate /etc/nginx/ssl/fullchain.pem;

证书链文件

ssl_certificate_key /etc/nginx/ssl/privkey.pem;

私钥文件

TLS协议优化配置

ssl_protocols TLSv1.2 TLSv1.3;

禁用不安全的TLS1.0/1.1

ssl_prefer_server_ciphers on;

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

HSTS头(强制HTTPS)

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

}

```

2.2 HTTP自动跳转HTTPS

listen 80;

return 301 https://$host$request_uri;

301永久重定向

*常见坑点*：某电商网站在CDN层做了跳转，但Nginx未关闭80端口监听，导致循环重定向。

三、高级安全优化方案

3.1 OCSP装订提升性能

ssl_stapling on;

ssl_stapling_verify on;

ssl_trusted_certificate /etc/nginx/ssl/ca.crt;

resolver 8.8.8.8 valid=300s;

作用：减少浏览器验证证书时的延迟（实测可降低200ms握手时间）

3.2 Session恢复优化

ssl_session_cache shared:SSL:10m;

缓存10MB会话数据

ssl_session_timeout 10m;

session有效期10分钟

适用场景：高并发网站可降低30%的TLS握手开销

四、疑难问题排查指南

问题1：浏览器提示"证书不受信任"

- ?检查是否包含完整证书链（可使用SSL Labs测试）

- ?错误做法：直接复制CRT文件内容导致中间证书缺失

问题2：Nginx报错"SSL handshake failed"

查看详细错误日志：

tail -f /var/log/nginx/error.log | grep SSL

常见原因：私钥与证书不匹配（可用openssl命令验证）

问题3：混合内容警告(Mixed Content)

解决方案：

```html

五、自动化维护方案

推荐使用Certbot自动化续期：

创建定时任务（每月执行）

0 */12 * * * root certbot renew --quiet --post-hook "systemctl reload nginx"

监控建议：

1. Zabbix监控证书过期时间

2.Prometheus收集TLS握手成功率指标

通过上述配置，你的Nginx服务器将获得A+级SSL评级（可在[SSL Labs](https://www.ssllabs.com/)测试）。记住一个原则："HTTPS不是终点而是起点"，后续还需关注CAA记录设置、Certificate Transparency等进阶安全措施。

TAG:nginx 部署ssl证书,nginx部署ssl证书,nginx ssl_ciphers,nginx ssl pem