Nginx SSL/TLS证书部署教程 – wiki基地

Nginx SSL/TLS 证书部署完全指南：保障网站安全的终极教程

在当今互联网时代，网站安全至关重要。SSL/TLS 证书不仅能加密网站与用户浏览器之间的通信，防止数据被窃听或篡改，还能提升网站在搜索引擎中的排名，增强用户信任度。Nginx 作为一款高性能的 Web 服务器和反向代理服务器，被广泛应用于各种规模的网站。本文将详细介绍如何在 Nginx 上部署 SSL/TLS 证书，为您的网站构建坚实的安全防线。

一、 SSL/TLS 证书基础知识

在深入部署细节之前，我们需要先了解一些关于 SSL/TLS 证书的基础知识。

1. 什么是 SSL/TLS 证书？

   SSL（Secure Sockets Layer）和 TLS（Transport Layer Security）是用于保护网络通信安全的协议。SSL/TLS 证书，也称为数字证书，是由受信任的证书颁发机构（CA）签发的数字文件，用于验证网站的身份并加密网站与用户浏览器之间的通信。

2. SSL/TLS 证书的工作原理

   SSL/TLS 证书通过非对称加密和对称加密相结合的方式来保障通信安全。
   * 非对称加密（公钥加密）： 网站拥有一个公钥和一个私钥。公钥用于加密数据，私钥用于解密数据。公钥可以公开，私钥必须严格保密。
   * 对称加密： 网站和浏览器协商一个密钥，用于加密和解密后续的通信数据。对称加密速度更快，效率更高。

   具体流程如下：
   1. 客户端（浏览器）向服务器发起 HTTPS 请求。
   2. 服务器将 SSL/TLS 证书（包含公钥）发送给客户端。
   3. 客户端验证证书的有效性（例如，是否由受信任的 CA 签发，是否过期）。
   4. 如果证书有效，客户端生成一个随机的对称密钥，并使用服务器的公钥加密。
   5. 客户端将加密后的对称密钥发送给服务器。
   6. 服务器使用私钥解密对称密钥。
   7. 双方使用对称密钥加密和解密后续的通信数据。

3. SSL/TLS 证书的类型

   根据验证级别和功能，SSL/TLS 证书可以分为以下几种类型：
   * 域名验证型证书（DV）： 仅验证域名所有权，签发速度快，价格较低。适用于个人网站或博客。
   * 组织验证型证书（OV）： 除了验证域名所有权外，还需要验证申请组织的真实性。适用于企业网站或组织机构。
   * 扩展验证型证书（EV）： 验证级别最高，需要严格审核申请组织的合法性。适用于金融机构、电子商务网站等对安全要求极高的场景。
   * 单域名证书： 仅保护一个域名（例如，example.com 或 www.example.com）。
   * 多域名证书（SAN）： 可以保护多个域名（例如，example.com、www.example.com、blog.example.com）。
   * 通配符证书： 可以保护一个域名及其所有子域名（例如，*.example.com）。

二、 获取 SSL/TLS 证书

获取 SSL/TLS 证书是部署的第一步。您可以选择付费证书或免费证书。

1. 付费证书

   付费证书通常由知名的 CA 机构签发，提供更高级别的安全性和技术支持。常见的付费证书提供商包括：
   * DigiCert
   * GeoTrust
   * GlobalSign
   * Sectigo
   * Entrust

   购买付费证书的流程通常如下：
   1. 选择证书类型和提供商。
   2. 生成证书签名请求（CSR）。
   3. 提交 CSR 给证书提供商。
   4. 完成域名所有权验证（DV 证书）或组织验证（OV/EV 证书）。
   5. 下载证书文件。

2. 免费证书

   Let’s Encrypt 是一个免费、自动化和开放的证书颁发机构，提供免费的 DV 证书。Let’s Encrypt 证书的有效期为 90 天，但可以通过自动化工具自动续期。

   使用 Let’s Encrypt 获取证书的常用工具是 Certbot。Certbot 可以自动完成证书申请、验证、安装和续期等过程。

   使用 Certbot 获取 Let’s Encrypt 证书的步骤：

   1. 安装 Certbot：

      在大多数 Linux 发行版上，可以使用包管理器安装 Certbot。例如，在 Debian/Ubuntu 上：

      bash
sudo apt update
sudo apt install certbot python3-certbot-nginx

      在 CentOS/RHEL 上：

      bash
sudo yum install certbot python3-certbot-nginx

   2. 运行 Certbot：

      使用以下命令获取证书并自动配置 Nginx：

      bash
sudo certbot --nginx -d example.com -d www.example.com

      将 example.com 和 www.example.com 替换为您要保护的域名。

      Certbot 将自动：
      * 生成密钥对。
      * 生成 CSR。
      * 与 Let’s Encrypt 服务器通信。
      * 完成域名所有权验证。
      * 下载证书文件。
      * 配置 Nginx。
      * 设置自动续期任务。

   3. 验证自动续期：

      Let’s Encrypt 证书的有效期为 90 天，Certbot 会自动设置一个定时任务来续期证书。您可以使用以下命令测试自动续期：

      bash
sudo certbot renew --dry-run

三、 Nginx SSL/TLS 证书部署

获取到证书文件后，我们需要将证书部署到 Nginx 服务器上。

1. 证书文件

   通常，您会收到以下几个文件：
   * 证书文件（.crt 或 .pem）： 包含您的网站的公钥和证书信息。
   * 私钥文件（.key 或 .pem）： 包含您的网站的私钥，必须妥善保管。
   * 中间证书/证书链（.crt 或 .pem）： 包含 CA 机构的中间证书，用于建立信任链。

2. 上传证书文件

   将证书文件和私钥文件上传到 Nginx 服务器上的安全目录。建议将文件放在 /etc/nginx/ssl/ 目录下。

   bash
sudo mkdir /etc/nginx/ssl
sudo cp example.com.crt /etc/nginx/ssl/
sudo cp example.com.key /etc/nginx/ssl/
sudo cp intermediate.crt /etc/nginx/ssl/ # 如果有中间证书

3. 合并证书文件（可选）

   有些情况下，您需要将证书文件和中间证书合并成一个文件。可以使用以下命令：

   bash
cat example.com.crt intermediate.crt > example.com.chained.crt
   4. 配置nginx

   修改 Nginx 配置文件（通常是 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default），添加 SSL/TLS 相关的配置。

   “`nginx
   server {
   listen 80;
   server_name example.com www.example.com;
   return 301 https://$host$request_uri;
   }

   server {
   listen 443 ssl;
   server_name example.com www.example.com;

   ssl_certificate /etc/nginx/ssl/example.com.chained.crt; # 证书文件路径
   ssl_certificate_key /etc/nginx/ssl/example.com.key; # 私钥文件路径
   
   ssl_protocols TLSv1.2 TLSv1.3; # 启用的 SSL/TLS 协议版本
   ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384'; # 启用的加密套件
   ssl_prefer_server_ciphers off;
   
   # 其他配置...
   

   }
   “`

配置说明：

*   `listen 80;`：监听 HTTP 端口（80 端口），并将所有 HTTP 请求重定向到 HTTPS。
*   `listen 443 ssl;`：监听 HTTPS 端口（443 端口）并启用 SSL/TLS。
*   `server_name`：指定您的域名。
*   `ssl_certificate`：指定证书文件的路径。
*   `ssl_certificate_key`：指定私钥文件的路径。
*   `ssl_protocols`：指定启用的 SSL/TLS 协议版本。建议禁用不安全的 SSLv2、SSLv3 和 TLSv1.0、TLSv1.1。
*   `ssl_ciphers`：指定启用的加密套件。建议使用安全、高效的加密套件。
*    `ssl_prefer_server_ciphers`: 是否优先使用服务器加密套件

1. 检查配置文件语法

   修改配置文件后，使用以下命令检查语法是否正确：

   bash
sudo nginx -t

2. 重新加载 Nginx 配置

   如果语法检查没有错误，重新加载 Nginx 配置使更改生效：

   bash
sudo systemctl reload nginx
   或者
   sudo service nginx reload

四、 测试 SSL/TLS 配置

部署完成后，我们需要测试 SSL/TLS 配置是否正确。

1. 浏览器访问

   使用浏览器访问您的网站，确保地址栏显示安全锁图标，并且证书信息正确。

2. 在线工具测试

   使用在线工具（例如，SSL Labs 的 SSL Server Test）测试您的网站的 SSL/TLS 配置，并获取详细的安全评级和建议。
   网址：https://www.ssllabs.com/ssltest/

五、 SSL/TLS 证书维护

1. 证书续期

   SSL/TLS 证书都有有效期，过期后需要续期。如果您使用 Let’s Encrypt 证书，Certbot 会自动续期。如果您使用付费证书，请按照证书提供商的说明进行续期。

2. 监控证书状态

   定期检查证书的有效期和状态，确保证书没有过期或被吊销。

3. 更新 Nginx 配置

   如果您的证书文件或私钥文件发生变化，请及时更新 Nginx 配置文件。

4. 关注安全漏洞

   及时关注 SSL/TLS 协议和加密算法的安全漏洞，并根据需要更新您的 Nginx 配置和证书。

六、 高级配置（可选）

1. HTTP Strict Transport Security (HSTS)

   HSTS 是一种安全机制，强制浏览器始终使用 HTTPS 连接访问您的网站，防止中间人攻击。

   在 Nginx 配置文件中添加以下配置：

   nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

   max-age 指定 HSTS 策略的有效期（以秒为单位）。includeSubDomains 表示 HSTS 策略也适用于所有子域名。

2. OCSP Stapling

   OCSP Stapling 是一种优化 SSL/TLS 握手过程的技术。服务器可以预先获取证书的 OCSP 响应，并在握手过程中发送给客户端，减少客户端验证证书状态的时间。

   在 Nginx 配置文件中添加以下配置：

   nginx
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/intermediate.crt; # 中间证书路径

3. 会话恢复
   使用会话恢复可以减少SSL握手时间，提高性能。
   “`nginx
   ssl_session_cache shared:SSL:10m;
   ssl_session_timeout 10m;

   “`

七、常见问题及解决方法

1. 证书不受信任

   • 确保您的证书是由受信任的 CA 机构签发的。
   • 检查证书链是否完整，是否包含所有必要的中间证书。
   • 确保您的服务器时间设置正确。

2. Mixed Content 错误

   如果您的网站同时包含 HTTP 和 HTTPS 内容，浏览器会显示 Mixed Content 错误。

   • 确保您的网站所有资源（例如，图片、CSS、JavaScript）都使用 HTTPS 加载。
   • 使用 Content Security Policy (CSP) 来控制页面可以加载的资源。

3. Nginx 启动失败

   • 检查 Nginx 配置文件语法是否正确。
   • 检查证书文件和私钥文件路径是否正确。
   • 检查证书文件和私钥文件权限是否正确。

总结

本文详细介绍了如何在 Nginx 上部署 SSL/TLS 证书，包括证书获取、配置、测试和维护等方面。通过遵循本文的步骤，您可以为您的网站构建坚实的安全防线，保护用户数据安全，提升网站信誉。请记住，网站安全是一个持续的过程，需要定期检查和更新您的 SSL/TLS 配置，以应对不断变化的安全威胁。希望这篇详尽的教程能对您有所帮助！