---

Nginx HTTPS 入门指南：为您的网站加锁，守护数据安全

随着互联网安全意识的提高以及各大浏览器和搜索引擎对网站安全性的日益重视，为网站启用 HTTPS 已经从“推荐”变成了“必须”。HTTPS 不仅能够加密用户与服务器之间的数据传输，保护用户隐私，还能提升网站在搜索引擎中的排名，增强用户信任。

Nginx 作为一款高性能的 Web 服务器和反向代理服务器，因其优秀的性能、稳定性和丰富的特性而广受欢迎。本篇文章将为您提供一份详细的 Nginx HTTPS 入门指南，带您从零开始，了解 HTTPS 的原理，获取 SSL/TLS 证书，并在 Nginx 中配置 HTTPS，最终实现您的网站安全升级。

文章目录

1. 为什么需要 HTTPS？了解 HTTPS 的重要性
   • 数据加密与安全性
   • 用户信任与品牌形象
   • 搜索引擎优化 (SEO)
   • 浏览器提示与未来趋势 (HTTP/2)
2. HTTPS 的基石：SSL/TLS 证书
   • 什么是 SSL/TLS？
   • 证书的作用与类型 (DV, OV, EV)
   • 证书的获取途径 (商业 CA, 免费 CA 如 Let’s Encrypt)
3. 准备工作：开始配置前的必需品
   • 一台运行 Nginx 的服务器
   • 一个域名并已正确解析到服务器
   • 获取 SSL/TLS 证书文件
   • 服务器的 root 或具有 sudo 权限的访问
   • 基础的 Linux 命令和 Nginx 配置知识
4. 获取免费 SSL/TLS 证书：使用 Certbot (推荐)
   • 什么是 Let’s Encrypt 和 Certbot？
   • Certbot 的安装
   • 使用 Certbot 获取并自动配置 Nginx 证书
   • 理解 Certbot 生成的证书文件
   • 自动续期设置
5. 手动配置 Nginx 支持 HTTPS
   • 找到您的 Nginx 配置文件
   • 编辑 Server Block
   • 关键的 HTTPS 配置指令详解
     • listen
     • ssl_certificate 和 ssl_certificate_key
     • ssl_protocols
     • ssl_ciphers
     • ssl_prefer_server_ciphers
     • ssl_session_cache 和 ssl_session_timeout
     • ssl_stapling 和 ssl_stapling_verify (OCSP Stapling)
     • resolver
     • add_header Strict-Transport-Security (HSTS)
   • 一个完整的 HTTPS Server Block 示例
6. 强制 HTTP 重定向到 HTTPS
   • 为什么需要重定向？
   • 配置 HTTP Server Block 进行重定向
7. 测试与验证
   • 检查 Nginx 配置语法
   • 重新加载或重启 Nginx
   • 浏览器测试
   • 使用在线 SSL 检测工具 (如 SSL Labs)
8. 常见问题与故障排除
   • 证书链不完整
   • 混合内容警告 (Mixed Content)
   • 防火墙问题
   • 证书过期
9. 进阶优化
   • 启用 HTTP/2
   • 性能调优 (缓存、压缩)
   • 更多安全头配置
10. 总结

---

1. 为什么需要 HTTPS？了解 HTTPS 的重要性

在深入配置之前，理解 HTTPS 的必要性至关重要。HTTPS（Hypertext Transfer Protocol Secure）并非一个全新的协议，它是在 HTTP 协议的基础上，通过 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 协议层进行加密处理。

• 数据加密与安全性： HTTP 协议传输的数据是明文的，这意味着数据在从用户的浏览器传输到服务器的过程中，可能会被中间人（例如网络服务提供商、黑客等）窃听或篡改。HTTPS 通过 SSL/TLS 对数据进行加密，即使数据被截获，也无法被轻易读取，有效保护了用户的敏感信息，如登录凭据、支付信息等。
• 用户信任与品牌形象： 启用 HTTPS 的网站会在浏览器地址栏显示一个绿色的锁标志或“安全”字样。这直观地向用户表明网站是安全的，建立了用户的信任感。特别是在线购物、银行或处理敏感信息的网站，HTTPS 是建立品牌信誉的基石。没有 HTTPS 的网站，则会被标记为“不安全”，极大地损害了用户体验和品牌形象。
• 搜索引擎优化 (SEO)： 谷歌、百度等主流搜索引擎已经明确表示，HTTPS 是一个重要的排名因素。为网站启用 HTTPS 可以提升网站在搜索结果页中的权重，从而获得更好的排名和更多的流量。
• 浏览器提示与未来趋势 (HTTP/2)： 现代浏览器（如 Chrome, Firefox, Safari）已经开始对未使用 HTTPS 的网站显示醒目的“不安全”警告。对于一些新的 Web 技术（如 Service Workers）和协议（如 HTTP/2），强制要求使用 HTTPS。HTTP/2 相比 HTTP/1.1 在性能上有显著提升，而要享受 HTTP/2 的全部优势，启用 HTTPS 是前提。

综上所述，无论您是运营个人博客、企业官网还是电子商务平台，启用 HTTPS 都已成为必选项。

2. HTTPS 的基石：SSL/TLS 证书

HTTPS 的安全性依赖于 SSL/TLS 协议，而 SSL/TLS 协议的核心是 SSL/TLS 证书。

• 什么是 SSL/TLS？
  SSL (Secure Sockets Layer) 及其后续版本 TLS (Transport Layer Security) 是一种加密协议，用于在网络上建立客户端（如浏览器）和服务器之间的安全连接。它提供三大基本安全服务：
  • 数据加密： 确保数据在传输过程中不被窃听。
  • 身份认证： 通过证书验证服务器的身份，防止连接到假冒网站。
  • 数据完整性： 确保数据在传输过程中不被篡改。
• 证书的作用与类型
  SSL/TLS 证书由受信任的第三方机构——证书颁发机构 (Certificate Authority, CA) 签发。它包含服务器的公钥、域名信息、CA 的数字签名等。客户端通过验证 CA 的签名来确认服务器身份的真实性。
  根据验证级别的不同，证书主要分为几种类型：
  • 域名验证证书 (Domain Validated, DV)： 只验证域名的所有权。签发速度快，价格便宜（甚至免费），适合个人网站、博客等。Let’s Encrypt 提供的就是 DV 证书。
  • 组织验证证书 (Organization Validated, OV)： 除了验证域名所有权，还会验证组织的真实性。证书中会包含组织名称，增加了信任度，适合企业网站。
  • 增强验证证书 (Extended Validation, EV)： 最高级别的验证，除了域名和组织验证，还会进行更严格的背景调查。在某些浏览器中，EV 证书会在地址栏显示公司名称和绿色标志，提供最高级别的信任，适合金融、电商等对信任度要求极高的网站。
• 证书的获取途径
  • 商业 CA： 如 DigiCert, Sectigo (原 Comodo), GlobalSign 等。提供各种类型的证书，通常需要付费购买。
  • 免费 CA： 最著名的是 Let’s Encrypt。由非营利组织运营，提供免费、自动化、短期的 DV 证书。对于大多数个人和中小型网站来说，Let’s Encrypt 是一个极佳的选择。

3. 准备工作：开始配置前的必需品

在进行 Nginx HTTPS 配置之前，请确保您具备以下条件：

• 一台运行 Nginx 的服务器： 确保 Nginx 已经正确安装并可以正常运行。可以通过 nginx -v 命令检查版本。
• 一个域名并已正确解析到服务器： 您的域名（例如 yourdomain.com）需要通过 A 记录或 CNAME 记录指向您服务器的公网 IP 地址。这是 CA 验证域名所有权以及用户访问网站的基础。
• 获取 SSL/TLS 证书文件： 您需要获得与您的域名匹配的证书文件。通常包括：
  • 服务器证书文件 (public key certificate)，通常是 .crt, .cer, .pem 后缀。
  • 证书私钥文件 (private key)，通常是 .key, .pem 后缀。
  • （有时）证书链文件 (certificate chain/bundle)，包含中间证书和根证书，用于构建完整的信任链。Certbot 通常会将服务器证书和证书链合并到一个文件中（fullchain.pem）。
• 服务器的 root 或具有 sudo 权限的访问： 您需要修改 Nginx 的配置文件并可能需要安装软件。
• 基础的 Linux 命令和 Nginx 配置知识： 需要熟悉文件编辑、服务管理命令 (如 systemctl) 以及 Nginx 配置文件的基本结构。

4. 获取免费 SSL/TLS 证书：使用 Certbot (推荐)

对于新手来说，使用 Let’s Encrypt 结合 Certbot 是获取免费证书并配置 Nginx 的最简单方式。Certbot 是 Let’s Encrypt 官方推荐的客户端，可以自动处理证书的获取和部署。

• 什么是 Let’s Encrypt 和 Certbot？
  Let’s Encrypt 是一个免费、自动化、开放的证书颁发机构。它使得任何人都可以轻松地获取 SSL/TLS 证书。
  Certbot 是一个工具，可以简化与 Let’s Encrypt CA 的交互过程，自动化执行获取、安装和续期证书的步骤。它支持多种 Web 服务器，包括 Nginx。
• Certbot 的安装
  安装 Certbot 的方法取决于您的操作系统。推荐使用您系统的包管理器或 Snapcraft。例如，在 Ubuntu 系统上：
  bash
sudo snap install core; sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
  在 CentOS/RHEL 8 上：
  bash
sudo dnf install certbot python3-certbot-nginx
  请根据 Certbot 官方网站 (https://certbot.eff.org/) 的指引选择适合您系统的安装方法。
• 使用 Certbot 获取并自动配置 Nginx 证书
  安装 Certbot 后，最简单的方法是让 Certbot 自动识别您的 Nginx 配置并进行修改：
  bash
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
  • --nginx 参数告诉 Certbot 您正在使用 Nginx。
  • -d yourdomain.com -d www.yourdomain.com 指定您想要获取证书的域名（可以指定多个子域名，用 -d 分隔）。
    Certbot 会尝试找到您的 Nginx 配置文件，并询问您一些问题，例如是否将 HTTP 流量重定向到 HTTPS。如果一切顺利，Certbot 会自动修改您的 Nginx 配置文件，添加 HTTPS server 块，并生成证书文件。
• 理解 Certbot 生成的证书文件
  Certbot 通常会将证书文件存放在 /etc/letsencrypt/live/yourdomain.com/ 目录下（yourdomain.com 是您的主域名）。重要的文件包括：
  • fullchain.pem: 包含服务器证书和所有中间证书。这就是 Nginx 配置中 ssl_certificate 需要引用的文件。
  • privkey.pem: 您的证书私钥。这就是 Nginx 配置中 ssl_certificate_key 需要引用的文件。
  • cert.pem: 只有服务器证书，不包含中间证书。
  • chain.pem: 只有中间证书和根证书，不包含服务器证书。
    注意： 请勿直接修改 /etc/letsencrypt/live/yourdomain.com/ 目录下的文件，因为它们是符号链接，指向 /etc/letsencrypt/archive/ 目录下的版本。
• 自动续期设置
  Let’s Encrypt 证书的有效期是 90 天。Certbot 会自动为您设置一个定时任务（通过 cron 或 systemd timer）来检查证书是否需要续期。通常，这个命令是 certbot renew。您可以通过运行 sudo certbot renew --dry-run 来测试续期过程是否能正常工作。如果 Certbot 自动配置了 Nginx，续期成功后它也会自动重新加载 Nginx 配置。

5. 手动配置 Nginx 支持 HTTPS

如果您选择手动获取证书（例如购买了商业证书）或者 Certbot 未能自动配置成功，您需要手动修改 Nginx 的配置文件。

• 找到您的 Nginx 配置文件
  Nginx 的主配置文件通常位于 /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf。网站的具体配置（Server Blocks）可能存放在 /etc/nginx/sites-available/ 目录下，并通过符号链接到 /etc/nginx/sites-enabled/ 目录来启用。找到您要配置的网站对应的配置文件。
• 编辑 Server Block
  您需要在 Nginx 配置文件中为您的域名创建一个或修改现有的 server 块来监听 443 端口。

• 关键的 HTTPS 配置指令详解

  “`nginx
  server {
  listen 443 ssl; # 监听 443 端口，启用 SSL/TLS

  server_name yourdomain.com www.yourdomain.com; # 替换为您的域名
  
  ssl_certificate /path/to/your/fullchain.pem; # 替换为您的证书文件路径 (包含证书链)
  ssl_certificate_key /path/to/your/private.key; # 替换为您的证书私钥文件路径
  
  # 以下是推荐的安全和性能配置
  ssl_protocols TLSv1.2 TLSv1.3; # 仅允许安全的 TLS 版本
  ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'; # 推荐的安全加密套件列表
  ssl_prefer_server_ciphers on; # 优先使用服务器端的加密套件顺序
  
  ssl_session_cache shared:SSL:10m; # 启用并配置 SSL 会话缓存，提升性能
  ssl_session_timeout 10m; # SSL 会话超时时间
  
  # OCSP Stapling 配置 (提高 SSL 握手速度，减少客户端对 CA 的查询)
  ssl_stapling on;
  ssl_stapling_verify on;
  # 需要配置一个可用的 DNS 解析器，通常是公共 DNS 或您服务商提供的 DNS
  resolver 8.8.8.8 8.8.4.4 valid=300s;
  resolver_timeout 5s;
  
  # 安全头配置 (可选，但强烈推荐)
  # HSTS (HTTP Strict Transport Security) 强制浏览器使用 HTTPS 访问您的网站
  add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
  # 阻止点击劫持
  add_header X-Frame-Options DENY;
  # 阻止浏览器进行 MIME 类型嗅探
  add_header X-Content-Type-Options nosniff;
  
  # ... 其他您的网站配置，如 root, index, location 块等 ...
  
  location / {
      # ... 您的网站文件路径或代理设置 ...
  }
  

  }
  “`

  • listen 443 ssl;: 这条指令让 Nginx 监听标准的 HTTPS 端口 443，并明确指示这是一个需要 SSL/TLS 加密的连接。
  • server_name yourdomain.com www.yourdomain.com;: 指定这个 server 块负责处理哪些域名的请求。
  • ssl_certificate /path/to/your/fullchain.pem;: 指向您的服务器证书文件（通常包含证书链）。如果是 Certbot 生成的，路径可能是 /etc/letsencrypt/live/yourdomain.com/fullchain.pem。
  • ssl_certificate_key /path/to/your/private.key;: 指向您的证书私钥文件。如果是 Certbot 生成的，路径可能是 /etc/letsencrypt/live/yourdomain.com/privkey.pem。私钥文件非常重要，请妥善保管，不要泄露。
  • ssl_protocols TLSv1.2 TLSv1.3;: 指定 Nginx 使用的 SSL/TLS 协议版本。TLSv1.2 和 TLSv1.3 是目前最安全的版本，应禁用旧的、不安全的版本（如 SSLv3, TLSv1, TLSv1.1）。
  • ssl_ciphers ...;: 指定 Nginx 使用的加密套件 (Cipher Suites)。选择强大的、现代的加密套件可以提高安全性。上面示例提供了一个推荐的列表。您可以参考 Mozilla SSL Configuration Generator (https://mozilla.github.io/server-side-tls/ssl-config-generator/) 生成适合您 Nginx 版本的最佳配置。
  • ssl_prefer_server_ciphers on;: 当客户端和服务器协商加密套件时，优先使用服务器端（即 Nginx）定义的顺序。这有助于确保使用更强大、更安全的加密方式。
  • ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;: 启用 SSL 会话缓存。对于同一客户端在短时间内发起的多个连接，可以重用之前的 SSL 会话，跳过完整的 SSL 握手过程，显著提高性能。shared:SSL:10m 创建一个名为 “SSL” 的共享缓存区，大小为 10MB (可以存储约 40000 个会话)。10m 设置会话超时时间为 10 分钟。
  • ssl_stapling on; ssl_stapling_verify on;: 启用 OCSP Stapling。这是一种优化技术，服务器会主动获取证书的 OCSP (Online Certificate Status Protocol) 状态（用于验证证书是否被吊销），并在 SSL 握手时发送给客户端。这样客户端就不需要自己去查询 CA 的 OCSP 服务器，提高了握手速度并保护了用户隐私。
  • resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s;: resolver 指令用于指定 Nginx 在进行 OCSP Stapling 时查询 CA 服务器所使用的 DNS 解析器。示例使用了 Google Public DNS。请选择稳定可靠的 DNS 服务器。valid=300s 是缓存 DNS 结果的时间。
  • add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;: 配置 HSTS (HTTP Strict Transport Security) 头。一旦浏览器接收到这个头，它会在指定的 max-age 时间内（这里是 2 年）强制使用 HTTPS 访问该域名及其所有子域名 (includeSubDomains)，即使用户输入的是 HTTP 地址。preload 参数允许将您的域名加入到浏览器的 HSTS 预加载列表，进一步增强安全性。请注意，HSTS 是一个强大的安全策略，一旦启用且设置了较长的 max-age，将很难回退到 HTTP。在首次启用时，可以先设置一个较短的 max-age 进行测试。always 确保这个头在所有响应中都添加。

6. 强制 HTTP 重定向到 HTTPS

用户或链接可能仍然使用 HTTP 协议访问您的网站。为了确保所有流量都通过安全的 HTTPS 连接，您需要将 HTTP 请求重定向到 HTTPS。

这通常通过在 Nginx 配置文件中创建一个单独的 server 块来监听 80 端口（HTTP 的标准端口）并进行重定向实现：

“`nginx
server {
listen 80; # 监听标准的 HTTP 端口 80
listen [::]:80; # 监听 IPv6 的 80 端口

server_name yourdomain.com www.yourdomain.com; # 替换为您的域名

# 将所有 HTTP 请求重定向到 HTTPS
return 301 https://$host$request_uri;
# 或者使用 rewrite
# rewrite ^(.*)$ https://$host$1 permanent;

}
“`

• listen 80; 和 listen [::]:80;: 监听 IPv4 和 IPv6 的 80 端口。
• server_name yourdomain.com www.yourdomain.com;: 指定这个 server 块处理哪些域名的 HTTP 请求。
• return 301 https://$host$request_uri;: 这是进行 301 永久重定向的标准且高效的方式。$host 变量代表请求的主机名（例如 yourdomain.com 或 www.yourdomain.com），$request_uri 代表请求的 URI (例如 /index.html?id=1)。这将把 http://yourdomain.com/index.html?id=1 重定向到 https://yourdomain.com/index.html?id=1。

将上面这个 HTTP server 块与您的 HTTPS server 块放在同一个配置文件中（或包含在主配置文件中）。

7. 测试与验证

配置完成后，必须进行严格的测试以确保一切正常。

• 检查 Nginx 配置语法： 在重新加载或重启 Nginx 之前，务必检查配置文件的语法是否正确。
  bash
sudo nginx -t
  如果输出显示 syntax is ok 和 test is successful，则表示语法正确。如果有错误，根据提示进行修改。
• 重新加载或重启 Nginx： 修改配置后，需要让 Nginx 重新加载配置才能生效。对于大多数现代系统，使用 systemd：
  bash
sudo systemctl reload nginx # 推荐，平滑重新加载，不中断现有连接
# 或者
sudo systemctl restart nginx # 重启 Nginx 服务，会短暂中断连接
  对于旧的 init.d 系统：
  bash
sudo service nginx reload
# 或者
sudo service nginx restart
• 浏览器测试：
  • 尝试使用 https://yourdomain.com 访问您的网站，检查地址栏是否显示绿色锁标志或“安全”字样。
  • 点击锁标志，查看证书详情，确认证书颁发者、有效期、以及是否覆盖了您访问的域名。
  • 尝试使用 http://yourdomain.com 访问您的网站，确认是否被自动重定向到 HTTPS。
• 使用在线 SSL 检测工具： 专业的在线工具可以对您的 SSL 配置进行深入分析，评估安全性、查找潜在问题（如证书链不完整、使用了弱加密套件等）。强烈推荐使用 SSL Labs Server Test。输入您的域名，它会给您的配置一个评分 (A+, A, B, C…)，并提供详细的报告。争取达到 A 或 A+ 的评分。

8. 常见问题与故障排除

• 证书链不完整： SSL Labs 测试可能显示证书链不完整。这通常是因为 Nginx 配置中 ssl_certificate 指令引用的文件只包含服务器证书，而没有包含中间证书。确保您引用的是包含完整证书链的文件（例如 Certbot 生成的 fullchain.pem）。如果您手动获取证书，有时需要将服务器证书和中间证书文件合并。
• 混合内容警告 (Mixed Content)： 网站在 HTTPS 连接下加载了通过 HTTP 方式引用的资源（图片、CSS、JavaScript、字体等）。浏览器会阻止这些 HTTP 资源加载或发出警告。解决方法是在您的网站代码中将所有资源的引用地址改为使用相对路径或 HTTPS 协议。您可以使用浏览器开发者工具的 Console 面板查看混合内容警告。
• 防火墙问题： 确保服务器的防火墙允许外部访问 443 端口。例如，使用 UFW：sudo ufw allow 'Nginx Full' 或 sudo ufw allow 443/tcp。
• 证书过期： 如果您的证书过期，浏览器会显示醒目的安全警告，阻止用户访问。使用 Certbot 的自动续期功能可以避免此问题。如果您手动管理证书，请务必记录证书的有效期并提前续期。
• 配置语法错误： 运行 sudo nginx -t 检查并根据错误信息修改配置。

9. 进阶优化

• 启用 HTTP/2： 在 Nginx 1.9.5 及更高版本中，HTTP/2 模块已经集成。在 listen 指令中添加 http2 参数即可启用：listen 443 ssl http2;。确保您的 Nginx 版本支持 HTTP/2，并且浏览器也支持。
• 性能调优： 除了 SSL 会话缓存，还可以配置 Gzip 压缩、浏览器缓存头等来优化网站性能。
• 更多安全头配置： 除了 HSTS，还可以配置 Content Security Policy (CSP)、Referrer-Policy 等安全头，进一步增强网站的安全性。

10. 总结

为网站启用 HTTPS 是现代 Web 开发的基础。通过本文的指南，您应该已经了解了 HTTPS 的重要性、SSL/TLS 证书的概念以及如何在 Nginx 中配置 HTTPS。无论是使用 Certbot 自动化获取和配置，还是手动修改配置文件，掌握这些步骤都能帮助您成功地为您的网站加上一把“安全锁”。

记住，配置 HTTPS 不仅仅是添加几行代码，更是一个保障用户数据安全、提升网站专业形象和获得更好排名的重要举措。持续关注证书的有效期，并根据安全标准更新您的 Nginx 配置（如加密套件列表、协议版本），才能确保您的网站长期运行在安全、高性能的环境中。

希望这篇详细的入门指南对您有所帮助！开始您的 HTTPS 之旅吧！

---