Nginx SSL/TLS 配置

weixin_507847952025-09-13 13:21

Nginx SSL/TLS 配置指南:从安装到强化安全

前言

在现代 Web 服务中,启用 SSL/TLS 加密是保障数据传输安全的基本要求。本文将详细介绍如何在 Nginx 中配置 SSL/TLS,包括证书获取、配置优化与安全性强化,适合从入门到进阶的用户阅读。

1. 安装 Nginx

如果你还没有安装 Nginx,可以按照以下步骤进行:

1.1 安装 EPEL 仓库

bash 复制代码 
sudo yum install epel-release -y

1.2 安装 Nginx

bash 复制代码 
sudo yum install nginx -y

1.3 启动并设置开机自启

bash 复制代码 
sudo systemctl start nginx
sudo systemctl enable nginx

1.4 验证安装

访问 http://your_server_ip,若能看到 Nginx 欢迎页,说明安装成功。若无法访问,可运行以下命令检查状态:

bash 复制代码 
sudo systemctl status nginx

2. 获取 SSL/TLS 证书

2.1 使用 Let's Encrypt 免费证书(推荐)

Let's Encrypt 提供免费且可自动续期的 SSL 证书,适合生产环境使用。

安装 Certbot
bash 复制代码 
sudo yum install epel-release -y
sudo yum install certbot python2-certbot-nginx -y
获取证书
bash 复制代码 
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

请将 yourdomain.com 替换为你的实际域名。Certbot 会自动配置 Nginx 并启用 HTTPS。

配置自动续期

Let's Encrypt 证书有效期为 90 天,建议设置定时任务自动续期:

bash 复制代码 
sudo crontab -e

添加以下内容:

复制代码 
0 0 * * * /usr/bin/certbot renew --quiet

2.2 创建自签名证书(仅用于测试)

适用于开发或测试环境,不推荐在生产环境中使用。

生成密钥和证书
bash 复制代码 
sudo mkdir -p /usr/local/nginx/ssl/{private,certs}

openssl genpkey -algorithm RSA -out /usr/local/nginx/ssl/private/nginx-selfsigned.key -pkeyopt rsa_keygen_bits:2048

openssl req -new -key /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.csr

openssl x509 -req -days 365 -in /usr/local/nginx/ssl/certs/nginx-selfsigned.csr -signkey /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.crt

生成过程中需填写一些基本信息,如国家、组织、域名等。

3. 配置 Nginx 启用 SSL/TLS

3.1 编辑配置文件

bash 复制代码 
vim /usr/local/nginx/conf/nginx.conf

3.2 添加 SSL 配置

nginx 复制代码 
server {
    listen 443 ssl;
    server_name benet.com www.benet.com;

    ssl_certificate /usr/local/nginx/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /usr/local/nginx/ssl/private/nginx-selfsigned.key;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
    ssl_prefer_server_ciphers on;

    location / {
        root /usr/share/nginx/html;
        index index.html;
    }
}

3.3 配置 HTTP 重定向到 HTTPS

nginx 复制代码 
server {
    listen 80;
    server_name benet.com www.benet.com;
    return 301 https://$host$request_uri;
}

3.4 启用 HTTP/2(可选)

nginx 复制代码 
server {
    listen 443 ssl http2;
    ...
}

4. 强化 SSL/TLS 安全性

4.1 禁用弱加密协议

nginx 复制代码 
ssl_protocols TLSv1.2 TLSv1.3;

4.2 启用 HSTS

nginx 复制代码 
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

4.3 生成并配置 DH 参数

bash 复制代码 
sudo openssl dhparam -out /usr/local/nginx/ssl/certs/dhparam.pem 2048

在 Nginx 配置中添加:

nginx 复制代码 
ssl_dhparam /usr/local/nginx/ssl/certs/dhparam.pem;

4.4 配置加密套件

nginx 复制代码 
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';

5. 验证配置

5.1 检查语法

bash 复制代码 
sudo nginx -t

5.2 重启 Nginx

bash 复制代码 
sudo systemctl restart nginx

5.3 测试 HTTPS

访问 https://benet.com,确认出现绿色锁图标。也可使用 curl 测试:

bash 复制代码 
curl -I https://benet.com

6. 定期更新证书

若使用 Let's Encrypt,证书会自动续期。若使用自签名证书,需手动更新。建议设置提醒,避免证书过期导致服务中断。

相关推荐
sunfove18 小时前
光网络的立交桥:光开关 (Optical Switch) 原理与主流技术解析
网络
Kevin Wang72720 小时前
欧拉系统服务部署注意事项
网络·windows
min18112345620 小时前
深度伪造内容的检测与溯源技术
大数据·网络·人工智能
汤愈韬21 小时前
Full Cone Nat
网络·网络协议·网络安全·security·huawei
zbtlink21 小时前
现在还需要带电池的路由器吗?是用来干嘛的?
网络·智能路由器
桌面运维家21 小时前
vDisk配置漂移怎么办?VOI/IDV架构故障快速修复
网络·架构
dalerkd21 小时前
忙里偷闲叙-谈谈最近两年
网络·安全·web安全
汤愈韬1 天前
NAT ALG (应用层网关)
网络·网络协议·网络安全·security·huawei
运维栈记1 天前
虚拟化网络的根基-网络命名空间
网络·docker·容器
五仁火烧1 天前
生产环境中配置了接口3000后,不能启动,改成8080后就可以
linux·网络·安全·vue
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定06jdk21下载、安装(Windows、Linux、macOS)072025-04-03 Latex学习1——本地配置Latex + VScode环境08【踩坑笔记】50系显卡适配的 PyTorch 安装09Overleaf编译超时,超出免费计划编译时限(已解决)10UV安装并设置国内源