在当今网络安全形势严峻的环境下，HTTPS已经成为网站标配。作为运维人员，掌握Nginx配置SSL证书的技能至关重要。本文将用最通俗的语言，配合实际案例，带你从零完成SSL证书的配置全过程。

一、SSL证书是什么？为什么你的网站必须装？

简单来说，SSL证书就像网站的"身份证"和"保险箱"。当用户访问你的网站时：

- 身份认证：证明"你真的是你"，不是钓鱼网站

- 加密传输：所有数据变成"乱码"传输，防止被窃听

典型案例：2025年某电商平台因未启用HTTPS，导致用户支付信息被中间人攻击窃取，造成数百万损失。

二、准备工作：获取SSL证书的3种方式

1. 商业CA购买（最正规）

- 价格：几百到几千元/年不等

- 推荐：Symantec、GeoTrust、Comodo

- 适合：企业官网、电商平台

2. Let's Encrypt免费证书（最常用）

```bash

使用certbot自动获取证书示例

sudo apt install certbot python3-certbot-nginx

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

```

3. 自签名证书（仅测试用）

生成自签名证书命令示例

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \

-keyout /etc/ssl/private/nginx-selfsigned.key \

-out /etc/ssl/certs/nginx-selfsigned.crt

三、Nginx配置SSL核心步骤（带真实案例）

假设我们已经获得：

- 证书文件：`example.com.crt`

- 私钥文件：`example.com.key`

- CA中间证书：`intermediate.crt`（部分CA提供）

关键配置片段：

```nginx

server {

listen 443 ssl;

server_name example.com;

SSL基础配置

ssl_certificate /path/to/example.com.crt;

ssl_certificate_key /path/to/example.com.key;

SSL增强配置（安全加固）

ssl_protocols TLSv1.2 TLSv1.3;

禁用不安全的TLS1.0/1.1

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

ssl_prefer_server_ciphers on;

HSTS头（强制HTTPS）

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

...其他常规配置...

}

??常见错误排查：

1. 权限问题：

```bash

chmod 600 example.com.key

私钥必须严格权限控制

```

2. 证书链不完整：

```nginx

正确的链式写法(合并中间证书记得顺序)

cat example.com.crt intermediate.crt > fullchain.crt

3. 协议版本过低警告：

Chrome浏览器会标记TLS1.0/1.1为不安全

四、高级优化技巧

1. OCSP Stapling加速验证（减少200ms延迟）

ssl_stapling on;

ssl_stapling_verify on;

ssl_trusted_certificate /path/to/full_chain.pem;

2. Session Ticket复用（降低CPU消耗）

ssl_session_tickets on;

ssl_session_timeout 1d;

3. HTTP自动跳转HTTPS（避免内容重复）

listen 80;

return 301 https://$host$request_uri;

五、安全性检查清单

完成配置后务必验证：

1. [SSL Labs测试](https://www.ssllabs.com/ssltest/)评分达到A+

2. Chrome浏览器地址栏显示??标志

3. `curl -I https://example.com`确认HSTS头生效

某金融客户案例：通过上述优化后，TLS握手时间从800ms降至300ms，同时安全性评分从B提升到A+。

六、自动化维护方案

使用crontab定时续期Let's Encrypt证书：

每月自动续期并重载Nginx配置

0 */12 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"

通过本文的详细指导，你应该已经掌握了Nginx SSL证书配置的核心要点。记住网络安全防护没有终点，定期更新和监控才是关键！

TAG:nginx 配置ssl crt 证书,谷歌如何导出证书,chrome导出证书,google导入证书,谷歌浏览器证书怎么导入,谷歌浏览器导入ca证书,google authenticator 导出,谷歌浏览器获取证书信息失败什么意思,谷歌导入burp证书,谷歌浏览器导出证书