海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

本文提供了从申请到部署的Nginx SSL证书全流程指南，介绍如何在Let's Encrypt等平台免费申请SSL证书，并通过Certbot工具自动化获取和续期，详细讲解如何配置Nginx以加载证书，包括编辑服务器块、指定证书路径及密钥文件，验证SSL配置的有效性，确保网站安全传输数据，整个过程旨在帮助用户快速实现HTTPS加密，提升网站安全性与可信度。

在当今数字化时代，网站的安全性变得愈发重要，为了保障用户数据的安全，越来越多的网站选择使用 HTTPS 协议来保护通信，实现 HTTPS 的关键步骤之一便是正确配置 SSL/TLS 证书，本文将详细介绍如何在 Nginx 上安装和配置 SSL 证书，帮助你轻松完成这一过程。

SSL（Secure Sockets Layer）是一种用于网络通信的加密协议，它通过加密传输的数据来保证信息的安全性，TLS（Transport Layer Security）是其继任者，提供了更强的安全性和更多的功能，SSL/TLS 证书是由受信任的证书颁发机构（CA）签发的一段数字文件，用于验证服务器的身份并建立加密连接，通过 SSL/TLS 证书，浏览器能够确认服务器的真实身份，从而防止中间人攻击和其他恶意行为。

获取 SSL 证书的方法

免费证书

• Let's Encrypt：这是一个非常受欢迎的选择，它提供的 SSL 证书完全免费，并且支持自动续订，你可以通过 Certbot 工具来获取和管理这些证书。
• Cloudflare：如果你已经在使用 Cloudflare 的 CDN 服务，只需启用“Always Use HTTPS”选项，即可获得免费的 SSL 证书，这种方法不仅简单，还能加速你的网站加载速度。

商业证书

如果你的业务需要更高的安全标准或支持多个域名,则可能需要购买商业证书，常见的提供商包括 Comodo、Symantec 和 DigiCert 等，这些提供商通常提供多种类型的证书，

• 单域名证书：仅适用于一个域名。
• 通配符证书：适用于以同一顶级域名为基础的所有子域名（*.example.com）。
• 多域名证书（SAN 证书）：支持多个不同的域名。

安装 SSL 证书到 Nginx

一旦你获得了所需的 SSL 证书，接下来就可以开始将其安装到 Nginx 上了，以下是具体步骤：

安装 Nginx

如果你尚未安装 Nginx，请根据操作系统选择合适的包管理器进行安装，在 Ubuntu 上，可以使用以下命令：

sudo apt update
sudo apt install nginx

配置 SSL 证书

你需要创建一个新的 Nginx 配置文件，或者编辑现有的默认配置文件（通常位于 /etc/nginx/sites-available/default 或 /etc/nginx/conf.d/your-site.conf），确保该文件包含以下内容：

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    location / {
        return 301 https://$host$request_uri;
    }
}
server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;
    # 指定证书文件的位置
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    # 配置 SSL 协议版本
    ssl_protocols TLSv1.2 TLSv1.3;
    # 配置加密套件
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

请将 yourdomain.com 替换为你自己的域名，并更新路径以指向正确的证书文件（fullchain.pem 和 privkey.pem）。

测试配置

在应用新的配置之前,建议先运行以下命令检查语法错误：

sudo nginx -t

如果一切正常,你应该会看到类似于“nginx: configuration file /etc/nginx/nginx.conf test is successful”的消息。

重启 Nginx

重新启动 Nginx 服务以使更改生效：

sudo systemctl restart nginx

验证 SSL 证书的有效性

完成上述步骤后,访问你的网站应该会自动重定向到 HTTPS 版本，你可以使用在线工具（如 SSL Labs 的 SSL Test）来检查证书是否正确安装以及其安全性级别，确保你的 SSL 证书通过了严格的评估，并且没有显示任何警告或错误。

自动续订 SSL 证书

对于 Let's Encrypt 等免费证书，由于其有效期较短（通常是90天），因此需要定期续订，可以通过设置 cron 任务或使用 Certbot 的自动续订功能来简化这一过程，使用 Certbot 的自动续订功能时，可以在终端中执行以下命令：

sudo certbot renew --quiet

这将检查所有即将过期的证书并尝试重新获取它们。