Nginx配置SSL证书

### Nginx 中 SSL 证书的正确配置方法 在 Nginx 中配置 SSL 证书是实现 HTTPS 安全通信的重要步骤。以下是一个标准的配置流程和示例，确保服务可以通过 HTTPS 正常访问。 #### 配置 HTTPS 服务器块 Nginx 的 SSL 配置通常包含监听端口、域名绑定、SSL 证书路径、加密套件设置以及协议版本等关键参数。一个典型的 HTTPS server 块如下所示： ```nginx server { listen 443 ssl; server_name www.example.com; # 替换为实际使用的域名 ssl_certificate /path/to/your/fullchain.pem; # SSL 证书文件路径 ssl_certificate_key /path/to/your/privkey.pem; # SSL 私钥文件路径 ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { proxy_pass http://127.0.0.1:8000; # 代理的目标地址 } } ``` 该配置中，`ssl_certificate` 和 `ssl_certificate_key` 指向的是实际部署的 SSL 证书和私钥文件。这些文件通常由可信的证书颁发机构签发[^1]。如果使用本地生成的自签名证书（如通过 mkcert 工具生成），浏览器可能会提示“证书不受信任”，这是因为此类证书未被默认添加到系统或浏览器的信任根证书库中[^2]。 #### 强化 SSL/TLS 配置 为了提升安全性，建议启用更强的加密算法和更安全的协议版本。例如，使用 `ECDHE-RSA-AES128-GCM-SHA256` 等现代加密套件，并禁用不安全的旧版协议如 SSLv3 和 TLSv1.0。同时，启用 `ssl_prefer_server_ciphers on;` 可以确保服务器选择优先于客户端提供的加密套件，从而避免潜在的安全漏洞。 #### HTTP 到 HTTPS 的重定向 为了确保所有流量都通过 HTTPS 加密传输，建议将 HTTP 请求自动重定向到 HTTPS 版本。可以在另一个 server 块中配置如下内容： ```nginx server { listen 80; server_name www.example.com; return 301 https://$host$request_uri; } ``` 此配置会将所有访问 80 端口的请求重定向至 HTTPS 地址，提高网站的整体安全性。 #### 检查与重启 Nginx 完成上述配置后，需检查 Nginx 配置文件是否有语法错误。可以使用命令 `nginx -t` 进行验证。若无误，则重启 Nginx 服务使新配置生效。