海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

要在 Nginx 中正确部署 SSL 证书，首先需从受信任的证书颁发机构（CA）获取SSL证书和私钥，在Nginx配置文件中启用SSL模块，并指定证书和私钥路径，确保配置了正确的协议版本（如TLSv1.2或更高），禁用不安全的协议，设置HSTS（HTTP严格传输安全）以强制浏览器始终通过HTTPS访问网站，测试配置并重启Nginx以应用更改，确保网站安全性和性能优化。

准备 SSL 证书和私钥

在开始部署 SSL 证书之前，您需要从受信任的证书颁发机构 (CA) 获取 SSL 证书和相应的私钥，这些文件通常会被命名为 certificate.crt 和 private.key，如果您使用的是 Let's Encrypt 等免费的证书服务，则可以通过自动化脚本（如 Certbot）来生成和管理证书。

某些情况下还需要一个中间证书（也称为交叉证书），这是因为一些根证书可能不在所有客户端的信任链中，因此需要额外的中间证书来建立完整的信任路径，中间证书通常由 CA 提供，并且文件名可能类似于 intermediate.crt。

配置 Nginx

安装 Nginx

如果您的服务器上尚未安装 Nginx，请根据操作系统类型下载并安装 Nginx，对于大多数 Linux 发行版，可以使用包管理器轻松完成此步骤，在基于 Debian 的系统上,您可以运行以下命令：

sudo apt update
sudo apt install nginx

编辑 Nginx 配置文件

Nginx 的主配置文件通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/ 目录下，为了简化配置管理，建议为每个站点创建单独的配置文件，假设我们要配置一个名为 example.com 的站点，可以在 /etc/nginx/sites-available/ 目录下创建一个新的文件 example.com,然后使用以下示例配置：

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;
    ssl_protocols TLSv1.2 TLSv1.3; # 指定支持的 SSL 协议版本
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

在这段配置中，我们设置了 HTTP 到 HTTPS 的重定向规则，并定义了 HTTPS 连接所需的 SSL 参数,请根据实际情况调整路径和域名。

启用新的站点配置

使用符号链接将新创建的配置文件连接到 /etc/nginx/sites-enabled/ 目录，这将使 Nginx 识别该配置文件,执行以下命令：

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

测试 Nginx 配置并重启服务

在应用更改之前，最好先测试一下配置是否正确,运行以下命令检查是否有语法错误：

sudo nginx -t

如果一切正常，可以重新启动 Nginx 以应用更改：

sudo systemctl restart nginx

验证 SSL 部署

部署完成后，可以通过在线工具如 SSL Labs 的 SSL Test 来验证您的网站是否正确配置了 SSL，该工具会分析您的服务器设置并给出详细的评分和改进建议，确保所有必要的设置都已启用，HSTS（HTTP Strict Transport Security）、OCSP Stapling 和强加密套件等。

还可以使用浏览器自带的安全功能来检查连接的安全性，在地址栏中点击锁图标，查看证书信息以确认它是由可信的 CA 签发的有效证书。

定期更新证书

大多数现代 CA 提供的服务都会自动提醒即将到期的证书，作为预防措施，建议定期检查证书的状态，并按照 CA 的指南及时更新它们，对于像 Let's Encrypt 这样的自动管理工具，可以设置 cron 作业或使用官方提供的工具来自动续订证书。

通过以上步骤，您已经成功地在 Nginx 上部署了 SSL 证书，正确的 SSL 配置不仅能够提高网站的安全性，还能提升用户体验，增加搜索引擎优化排名的可能性，随着网络环境的变化和技术的进步，保持对最新安全实践的关注至关重要,以便及时调整您的设置以抵御潜在威胁。

希望这篇文章能帮助您更好地理解和实施 Nginx 中的 SSL 证书部署过程，如果您有任何疑问或遇到问题,请随时查阅相关文档或寻求社区支持。