&

Nginx 配置新 SSL 證書并啟用 HTTPS 的詳細步驟，適用于手動安裝證書或結合 Let＇s Encrypt 自動管理的情況

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

admin

2025年8月11日 9:2 本文熱度 579

以下是在 Nginx 配置新 SSL 證書并啟用 HTTPS 的詳細步驟，適用于手動安裝證書或結合 Let's Encrypt 自動管理的情況：

1. 準備工作

1.1 獲取 SSL 證書

?證書來源：

?從證書頒發機構（CA）購買證書（如阿里云、騰訊云、DigiCert 等）。

?使用 Let's Encrypt 免費證書（推薦）。

?生成自簽名證書（僅用于測試環境）。

?證書文件要求：

?服務器證書文件（如 example.com.crt 或 fullchain.pem）。

?私鑰文件（如 example.com.key 或 privkey.pem）。

?（可選）中間證書文件（如 intermediate.crt，需與主證書合并為完整證書鏈）。

1.2 上傳證書到服務器

?將證書和私鑰上傳到服務器的安全目錄（如 /etc/nginx/ssl/）：

Bash
sudo mkdir -p /etc/nginx/ssl/
sudo cp example.com.crt /etc/nginx/ssl/
sudo cp example.com.key /etc/nginx/ssl/

2. 配置 Nginx

2.1 編輯 Nginx 配置文件

?打開站點配置文件（通常位于 /etc/nginx/sites-available/your_domain.conf 或 /etc/nginx/conf.d/your_domain.conf）：

Bash
sudo nano /etc/nginx/sites-available/example.com.conf

?添加 SSL 配置（示例）：

Nginx
server {
  listen 443 ssl;
  server_name example.com www.example.com;

  # SSL 證書路徑
  ssl_certificate /etc/nginx/ssl/example.com.crt;
  ssl_certificate_key /etc/nginx/ssl/example.com.key;

  # SSL 協議與加密套件優化
  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers on;

  # 其他配置（如網站根目錄、代理等）
  location / {
  root /var/www/html;
  index index.html;
  }
}

?強制 HTTP 跳轉 HTTPS（可選）：

Nginx
server {
  listen 80;
  server_name example.com www.example.com;
  return 301 https://$host$request_uri;
}

2.2 檢查配置文件語法

?測試 Nginx 配置是否正確：

Bash
sudo nginx -t

如果提示 syntax is ok 且 test is successful，則配置無誤。

3. 重啟 Nginx 服務

?平滑重啟 Nginx（避免服務中斷）：

Bash
sudo systemctl reload nginx

?如果失敗，嘗試完全重啟：

Bash
sudo systemctl restart nginx

4. 驗證 SSL 配置

4.1 瀏覽器訪問測試

?訪問 https://example.com，檢查瀏覽器地址欄是否顯示安全鎖標志，且無證書錯誤。

4.2 命令行驗證

?使用 openssl 檢查證書信息：

Bash
openssl x509 -in /etc/nginx/ssl/example.com.crt -text -noout

?使用在線工具（如 SSL Labs）測試證書配置。

5. 自動續簽證書（推薦，適用于 Let's Encrypt）

如果使用 Certbot（Let's Encrypt）管理證書：

5.1 安裝 Certbot

Bash
sudo apt install certbot python3-certbot-nginx # Debian/Ubuntu
sudo yum install certbot python3-certbot-nginx # CentOS/RHEL

5.2 獲取并配置證書

Bash
sudo certbot --nginx -d example.com -d www.example.com

按提示選擇域名并啟用自動重定向（HTTP 到 HTTPS）。

5.3 設置自動續簽

?編輯定時任務：

Bash
sudo crontab -e

?添加以下任務（每天凌晨 2 點檢查續簽）：

Bash
0 2 * * * certbot renew --quiet

6. 注意事項

（1）權限設置：

?確保證書和私鑰文件權限正確：

Bash
sudo chmod 600 /etc/nginx/ssl/*.key
sudo chmod 644 /etc/nginx/ssl/*.crt
sudo chown root:root /etc/nginx/ssl/*.key

（2）證書鏈完整性：

?如果證書文件缺少中間證書，需將 CA 提供的中間證書合并到主證書文件中：

Bash
cat example.com.crt intermediate.crt > fullchain.crt

（3）防火墻配置：

?確保服務器防火墻或安全組允許 443 端口入站流量。

（4）日志監控：

?檢查 Nginx 錯誤日志（/var/log/nginx/error.log）排查配置問題。

7. 常見問題排查

?證書未生效：檢查 Nginx 配置中證書路徑是否正確，或嘗試強制刷新瀏覽器緩存。

?權限錯誤：確保私鑰文件權限為 600，且 Nginx 進程有權限讀取證書文件。

?配置沖突：運行 nginx -t 檢查語法，或查看日志文件 /var/log/nginx/error.log。

通過以上步驟，可以完成 Nginx 的 SSL 證書配置。

該文章在 2025/8/11 10:57:45 編輯過