海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

本文提供了使用 Nginx 配置 SSL 证书的全面指南，涵盖从生成自签名证书到部署的真实证书的全过程，介绍如何使用 OpenSSL 工具生成自签名证书，包括创建私钥和证书签名请求（CSR），讲解如何从证书颁发机构（CA）获取有效的 SSL 证书，并将其配置到 Nginx 中，详细说明了启用 HTTPS、测试配置以及优化 SSL 设置的步骤，确保网站安全性和性能，通过这些步骤，用户可以轻松实现 Nginx 的 SSL 安全配置。

在当今互联网环境中，安全性变得越来越重要，无论是在保护用户数据、确保交易安全，还是提升搜索引擎排名方面，HTTPS 协议都发挥着至关重要的作用，Nginx 是一个广泛使用的高性能 Web 服务器和反向代理服务器，它支持通过 SSL/TLS 协议来加密传输中的数据，本文将详细介绍如何为 Nginx 配置 SSL 证书，涵盖从生成自签名证书到获取受信任的 CA（Certificate Authority）颁发的证书的全过程。

什么是 SSL？

SSL（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是一种网络安全协议，用于在客户端和服务器之间建立加密连接，通过使用 SSL/TLS，可以确保传输的数据不会被窃听或篡改，当浏览器访问一个 HTTPS 网站时，它会与该网站建立一个加密通道,从而保护用户的隐私。

自签名证书的生成

自签名证书是由你自己创建并签署的数字证书，主要用于测试目的或内部网络环境，虽然它们不能被公共浏览器信任，但在开发阶段非常有用,下面我们将详细介绍如何生成自签名证书。

安装 OpenSSL

OpenSSL 是一个开源的安全通信库，提供了生成密钥对和证书的功能，如果你尚未安装 OpenSSL，请根据你的操作系统选择合适的安装方式，在 Ubuntu 上可以通过以下命令安装：

sudo apt-get update
sudo apt-get install openssl

生成私钥

我们需要生成一个私钥文件，该文件将保存在服务器上，并且只有你有权限访问，运行以下命令来生成一个 2048 位长的 RSA 私钥：

openssl genrsa -out server.key 2048

创建证书签名请求 (CSR)

CSR 是一种包含有关服务器信息的数据文件，它会被发送给证书颁发机构以获得正式的 SSL 证书，由于我们使用的是自签名证书，因此我们将自己签署 CSR，创建一个配置文件 server.cnf如下：

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no
[ req_distinguished_name ]
C  = CN
ST = Guangdong
L  = Shenzhen
O  = Example Company
CN = example.com
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = example.com
DNS.2 = www.example.com

然后使用 OpenSSL 创建 CSR 文件：

openssl req -new -key server.key -out server.csr -config server.cnf

签署 CSR 并生成自签名证书

最后一步是使用刚才生成的私钥来签署 CSR 文件,并生成自签名证书：

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile server.cnf -extensions req_ext

这段代码会在当前目录下创建一个有效期为一年的自签名证书 server.crt。

部署到 Nginx 中

完成上述步骤后，我们就得到了一套完整的私钥和证书文件，接下来需要把这些文件部署到 Nginx 上。

修改 Nginx 配置

打开 Nginx 的配置文件，通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default，找到 server 块并添加以下内容：

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

请确保将路径替换为你实际存放证书的位置。

测试并重启 Nginx

在保存更改之后,记得测试配置是否正确：

sudo nginx -t

如果没有任何错误输出，则可以安全地重启 Nginx：

sudo systemctl restart nginx

现在你应该能够通过 https://example.com 访问你的站点了！

获取受信任的 CA 颁发的证书

尽管自签名证书对于本地开发很有帮助，但对于生产环境来说，最好还是使用由知名 CA（如 Let's Encrypt）签发的真实证书，Let's Encrypt 提供免费的 SSL 证书，并且支持自动化续订流程，你可以使用 Certbot 工具来轻松获取这些证书并将它们部署到 Nginx 上。

为 Nginx 配置 SSL 证书并不复杂，关键在于理解每个步骤的目的以及如何正确地配置相关参数，希望这篇文章能帮助你在项目中顺利实现 HTTPS 支持！