海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

本文提供了详细的 Nginx 配置 SSL 证书指南，确保已获取有效的 SSL 证书和私钥文件，在 Nginx 配置文件中，使用 ssl_certificate 和 ssl_certificate_key 指令指定证书和密钥路径，并启用 HTTPS 监听端口，还需配置 ssl_protocols 和 ssl_ciphers 以增强安全性，测试配置并重启 Nginx 服务以应用更改，通过这些步骤，可以有效提升网站的安全性和性能。

什么是 Nginx 和 SSL？

Nginx

Nginx 是一个高性能的 HTTP 和反向代理服务器，同时也是一个高效的 IMAP/POP3/SMTP 代理服务器，它以其轻量级、高并发处理能力和低资源占用而闻名，Nginx 支持多种功能模块，包括静态文件服务、负载均衡、FastCGI、uWSGI、Scgi、TLS 等，广泛应用于 Web 应用程序的部署和服务优化。

SSL（Secure Sockets Layer）

SSL 是一种安全协议，用于在网络中建立安全连接，通过使用公钥和私钥对传输的数据进行加密，SSL 可以有效防止数据被窃听或篡改，尽管 SSL 已经演变为 TLS（Transport Layer Security），但人们仍然习惯称其为 SSL。

为什么要使用 SSL？

在互联网上,数据传输的安全性至关重要，以下是使用 SSL 的几个主要原因：

1. 保护敏感信息：SSL 加密可以有效防止用户输入的敏感信息（如密码、信用卡号等）被窃取。

2. 增强用户信任：带有锁形标志的 HTTPS 地址表明该网站具有较高的安全性，有助于提高用户的信任度。

3. SEO 优势：搜索引擎更倾向于排名使用 HTTPS 的网站，Google 已经明确表示，HTTPS 网站在搜索结果中的排名会更高。

4. 防止中间人攻击：SSL 可以防止恶意第三方在客户端和服务器之间插入自己的代码，从而窃取或篡改数据。

获取 SSL 证书

要配置 SSL 证书，首先需要有一个有效的 SSL 证书，您可以通过以下几种方式获得证书：

1. 购买商业证书：如果您经营的是一个商业网站，建议选择一家信誉良好的 CA（Certificate Authority）机构购买商业证书，这些证书通常提供更好的支持和技术保障。

2. 使用免费证书：Let's Encrypt 提供了免费的 SSL 证书，并且可以通过自动化工具（如 Certbot）轻松安装和续订。

3. 自签名证书：如果您只是在开发环境中测试 SSL，可以创建一个自签名证书，不过请注意，这种证书不会被浏览器自动信任，用户访问时可能会看到警告提示。

安装 SSL 证书

准备环境

在开始之前,请确保您的服务器上已经正确安装并运行了 Nginx，您还需要准备好所需的 SSL 证书文件和密钥文件，如果您是从 Let's Encrypt 获取的证书，这些文件通常位于 /etc/letsencrypt/live/yourdomain.com/ 目录下，具体的文件名称可能因操作系统版本的不同而有所差异。

编辑 Nginx 配置文件

使用文本编辑器打开 Nginx 的主配置文件（通常是 /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf），如果您的站点有多个虚拟主机，可以在对应的 server 块中添加 SSL 相关的配置。

配置 HTTPS 服务

在您的 Nginx 配置文件中找到或添加一个新的 server 块来监听 443 端口，并设置正确的 SSL 参数。

server {
    listen 443 ssl;
    server_name yourdomain.com;
    ssl_certificate /path/to/your/fullchain.pem;
    ssl_certificate_key /path/to/your/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3; # 指定支持的 SSL/TLS 协议版本
    ssl_ciphers HIGH:!aNULL:!MD5; # 设置允许使用的加密套件
    location / {
        root /var/www/html;
        index index.html;
    }
}

在上面的例子中,fullchain.pem 文件包含了整个证书链（即您的域名证书加上颁发机构的证书），而 privkey.pem 文件则是私钥，请根据实际情况调整路径。

测试配置并重新加载 Nginx

完成上述更改后,请不要忘记测试新的配置是否正确：

sudo nginx -t

如果没有错误提示,则可以重新加载 Nginx 使其生效：

sudo systemctl reload nginx

自动续订 SSL 证书

对于使用 Let's Encrypt 的证书，有效期只有三个月，因此需要定期续订，幸运的是，Certbot 提供了一种简便的方法来自动完成这一过程，您可以按照官方文档中的说明配置 Certbot 定时任务，让其每隔一段时间自动检查证书状态并续订。

常见问题及解决方法

• 无法访问网站：请检查 Nginx 日志文件（通常位于 /var/log/nginx/error.log）以查找错误原因，常见的问题是路径错误或者缺少必要的权限。

• 浏览器显示警告：如果是自签名证书引起的，请手动将证书导入到浏览器的信任列表中；如果是其他原因导致的，请仔细检查 Nginx 配置文件。

• 性能问题：虽然启用 SSL 会对服务器性能产生一定影响，但现代硬件和优化后的算法使得这种影响微乎其微，如果您确实遇到了性能瓶颈，可以考虑启用 HTTP/2 协议进一步提升效率。