Nginx HTTPS配置教程 - 保护网站数据传输安全

为什么要配置HTTPS

HTTPS（HTTP Secure）通过SSL/TLS协议对HTTP通信进行加密，提供以下关键优势： - 数据加密：防止敏感信息在传输过程中被窃取 - 身份验证：确保用户访问的是真实服务器而非钓鱼网站 - 数据完整性：防止传输内容被篡改 - SEO优势：Google等搜索引擎优先排名HTTPS网站 - 现代浏览器要求：Chrome等浏览器会标记非HTTPS网站为"不安全"

准备工作

1. 获取SSL证书：

   • 从证书颁发机构(CA)如Let's Encrypt(免费)、DigiCert、Comodo等购买
   • 或使用Let's Encrypt免费证书（推荐）

2. 准备服务器：

   • 已安装Nginx的Linux服务器
   • 域名已解析到服务器IP
   • 开放443端口（HTTPS默认端口）

使用Let's Encrypt获取免费证书（Certbot）

# 安装Certbot
sudo apt update
sudo apt install certbot python3-certbot-nginx

# 获取证书（替换yourdomain.com为你的域名）
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

# 自动续期测试
sudo certbot renew --dry-run

Certbot会自动完成以下工作： 1. 验证域名所有权 2. 获取SSL证书 3. 自动配置Nginx 4. 设置自动续期（证书有效期为90天）

手动配置Nginx HTTPS

如果你需要手动配置，以下是典型配置示例：

server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;

    # SSL证书路径
    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    # 启用会话恢复以提高性能
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # 现代加密套件配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # 启用OCSP Stapling提高性能
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # HSTS头(强制HTTPS)
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

    # 其他安全头
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";

    # 网站根目录配置
    root /var/www/html;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

# HTTP重定向到HTTPS
server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

高级安全配置

1. 启用HTTP/2（提升性能）

listen 443 ssl http2;

2. 配置DH参数（增强安全性）

sudo openssl dhparam -out /etc/nginx/dhparam.pem 2048

然后在Nginx配置中添加：

ssl_dhparam /etc/nginx/dhparam.pem;

3. 配置TLS 1.3（最新最安全协议）

ssl_protocols TLSv1.2 TLSv1.3;

验证配置

1. 检查Nginx配置语法：

sudo nginx -t

2. 重新加载Nginx：

sudo systemctl reload nginx

3. 使用在线工具验证：
   • SSL Labs测试
   • Security Headers检查

常见问题解决

1. 证书不被信任：

   • 确保证书链完整（使用fullchain.pem）
   • 检查证书是否过期

2. 混合内容警告：

   • 确保网页中所有资源（图片、CSS、JS）都使用HTTPS链接

3. ERR_SSL_VERSION_OR_CIPHER_MISMATCH：

   • 检查ssl_protocols和ssl_ciphers配置
   • 确保客户端支持服务器配置的协议

4. 性能问题：

   • 启用OCSP Stapling
   • 使用会话恢复
   • 考虑使用更快的加密算法（如ECDSA证书）

自动续期设置

Let's Encrypt证书有效期为90天，设置自动续期：

# 编辑crontab
sudo crontab -e

# 添加以下行（每天检查续期）
0 12 * * * /usr/bin/certbot renew --quiet

结论

通过以上配置，你的网站将： - 获得A+级别的SSL安全评级 - 提供加密的数据传输 - 获得更好的搜索引擎排名 - 满足现代浏览器的安全要求

定期检查SSL证书状态和安全配置，确保网站持续保持最高安全标准。