文章
  • JS插件
  • 整站源码
  • html模板
  • 共享资源
  • 文章
热门搜索: 微信小程序 qq登陆 thinkphp 微信登陆
窝币充值 开通VIP
插件窝 干货文章 如何使用Nginx配置SSL/TLS加密通信

如何使用Nginx配置SSL/TLS加密通信

Nginx 证书 SSL 配置 188    来源:    2025-04-13

使用Nginx配置SSL/TLS加密通信指南

准备工作

  1. 获取SSL证书

    • 从证书颁发机构(CA)如Let's Encrypt、DigiCert等购买或获取免费证书
    • 或者使用自签名证书(仅限测试环境)

  2. 证书文件

    • 通常会有以下文件:
      • 域名证书(如:example.com.crt)
      • 中间证书(如:intermediate.crt)
      • 私钥文件(如:example.com.key)

基础配置步骤

1. 安装Nginx

确保已安装支持SSL的Nginx版本:

sudo apt update
sudo apt install nginx

2. 配置SSL证书

将证书文件上传到服务器,建议存放在:

/etc/nginx/ssl/

3. 配置Nginx虚拟主机

编辑Nginx配置文件(通常在/etc/nginx/sites-available/your_site.conf):

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    # SSL证书配置
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    # 启用SSL会话缓存以提高性能
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # 安全协议和加密套件配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # HSTS (可选但推荐)
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

    # 其他配置...
    root /var/www/html;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

4. 强制HTTPS重定向(推荐)

添加一个80端口的server块来重定向所有HTTP请求到HTTPS:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

5. 测试并重启Nginx

# 测试配置语法
sudo nginx -t

# 重启Nginx使配置生效
sudo systemctl restart nginx

高级配置选项

1. OCSP Stapling

提高SSL验证性能:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.crt;  # 包含根证书和中间证书
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

2. DH参数增强

生成更强的DH参数:

openssl dhparam -out /etc/nginx/dhparam.pem 2048

然后在配置中添加:

ssl_dhparam /etc/nginx/dhparam.pem;

3. HTTP/2支持

listen 443 ssl http2;

使用Let's Encrypt免费证书

  1. 安装Certbot工具:
sudo apt install certbot python3-certbot-nginx
  1. 获取证书:
sudo certbot --nginx -d example.com -d www.example.com
  1. 自动续期测试:
sudo certbot renew --dry-run

验证配置

使用以下工具验证SSL配置: - SSL Labs测试 - 命令行工具: bash openssl s_client -connect example.com:443 -servername example.com -tlsextdebug -status

常见问题解决

  1. 证书链不完整

    • 确保中间证书已正确包含
    • 可以使用cat intermediate.crt >> example.com.crt合并证书

  2. 私钥不匹配

    • 验证证书和私钥是否匹配: bash openssl x509 -noout -modulus -in example.com.crt | openssl md5 openssl rsa -noout -modulus -in example.com.key | openssl md5
    • 两个MD5值应该相同

  3. 协议/加密套件过时

    • 确保禁用SSLv3和TLSv1.0/TLSv1.1
    • 使用现代的加密套件

  4. 性能问题

    • 启用SSL会话缓存
    • 考虑使用TLS 1.3以获得更好性能

通过以上步骤,您应该能够成功配置Nginx的SSL/TLS加密通信,为网站提供安全的HTTPS连接。

上一篇:如何使用Nginx进行HTTP请求的缓存控制
下一篇:如何使用Nginx实现基于域名和路径的虚拟主机配置

推荐文章

热门文章

关于我们 | 免责声明 | 注册协议 | 客服QQ: 236095280 236095279
Copyright©2018-2025 All Rights Reserved. 琼ICP备16003363号-7