Nginx + 免费SSL 配置HTTPS

Nginx + 免费 SSL 证书配置 HTTPS 详解：打造安全可靠的网站

在当今互联网时代，网站的安全性至关重要。HTTPS（Hypertext Transfer Protocol Secure）作为 HTTP 的安全版本，通过加密数据传输和验证网站身份，为用户提供更安全的浏览体验。本文将详细介绍如何使用 Nginx Web 服务器和免费的 SSL 证书（Let's Encrypt）配置 HTTPS，让你的网站更加安全可靠。

一、HTTPS 的重要性

在深入了解配置细节之前，我们先来探讨一下为什么 HTTPS 如此重要：

1. 数据加密: HTTPS 使用 SSL/TLS 协议对客户端和服务器之间传输的数据进行加密。这意味着即使数据被拦截，攻击者也无法读取其内容，从而保护用户的敏感信息，如密码、信用卡信息等。

2. 身份验证: HTTPS 通过 SSL 证书验证网站的身份。用户可以确信他们正在访问的网站是真实的，而不是伪造的钓鱼网站。

3. SEO 优化: 搜索引擎（如 Google）更倾向于将 HTTPS 网站排在搜索结果的前面。这意味着配置 HTTPS 可以提高网站的搜索引擎排名，带来更多流量。

4. 用户信任: 浏览器会在地址栏显示一个锁形图标，表明网站使用了 HTTPS。这可以增强用户的信任感，提高网站的转化率。

5. 符合行业标准: 越来越多的行业标准和法规要求网站使用 HTTPS，例如 PCI DSS（支付卡行业数据安全标准）。

二、为什么选择 Nginx 和 Let's Encrypt

• Nginx: Nginx 是一款高性能、轻量级的 Web 服务器和反向代理服务器。它以其卓越的性能、稳定性和丰富的功能而闻名，是许多大型网站的首选。Nginx 可以轻松处理高并发连接，确保网站的快速响应。

• Let's Encrypt: Let's Encrypt 是一个免费、自动化和开放的证书颁发机构（CA），由 Internet Security Research Group（ISRG）运营。它提供了一种简单的方式来获取和管理 SSL 证书，无需支付任何费用。Let's Encrypt 的证书被所有主流浏览器信任。

结合 Nginx 和 Let's Encrypt，我们可以免费且高效地为网站配置 HTTPS。

三、准备工作

在开始配置之前，请确保你已经具备以下条件：

1. 一台服务器: 你需要一台运行 Linux 操作系统的服务器（如 Ubuntu、Debian、CentOS 等）。

2. 一个域名: 你需要拥有一个已经解析到服务器 IP 地址的域名。

3. SSH 访问: 你需要能够通过 SSH 连接到服务器。

4. sudo 权限: 你需要拥有服务器的 sudo 权限，以便执行安装和配置命令。

5. 已安装 Nginx: 服务器需安装Nginx服务

四、安装 Certbot

Certbot 是 Let's Encrypt 官方推荐的客户端工具，它可以自动完成证书的获取、安装和续期。我们将使用 Certbot 来简化配置过程。

以下是在不同 Linux 发行版上安装 Certbot 的步骤：

• Ubuntu / Debian:

bash
sudo apt update
sudo apt install certbot python3-certbot-nginx

• CentOS / RHEL:

bash
sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

五、获取 SSL 证书

安装好 Certbot 后，我们可以使用它来获取 SSL 证书。Certbot 提供了多种验证方式，其中最常用的是 nginx 插件，它可以自动配置 Nginx。

运行以下命令获取证书：

bash
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
* 将yourdomain.com 替换为您的实际域名。
* 如果需要支持多个域名或者子域名，用-d继续添加。

在运行过程中，Certbot 会提示你输入电子邮件地址（用于接收证书到期通知）并同意 Let's Encrypt 的服务条款。

Certbot 会自动与 Let's Encrypt 服务器通信，验证你对域名的所有权，并获取 SSL 证书。证书通常会被保存在 /etc/letsencrypt/live/yourdomain.com/ 目录下。

六、配置 Nginx

Certbot 会自动修改 Nginx 配置文件来启用 HTTPS。你可以通过检查 Nginx 配置文件（通常位于 /etc/nginx/sites-available/ 或 /etc/nginx/conf.d/ 目录下）来确认配置是否正确。

以下是一个典型的 Nginx 配置示例：

```nginx
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;

# Redirect HTTP to HTTPS
return 301 https://$host$request_uri;

}

server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;

ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# 其他配置...
location / {
    # 你的网站内容配置...
     proxy_pass http://localhost:3000; #示例，反向代理到本地3000端口
}

}
```

关键配置解释:

• listen 80;: 监听 HTTP 请求（80 端口）。
• listen 443 ssl;: 监听 HTTPS 请求（443 端口），并启用 SSL。
• server_name: 指定域名。
• ssl_certificate: 指定 SSL 证书文件的路径。
• ssl_certificate_key: 指定 SSL 密钥文件的路径。
• return 301 https://$host$request_uri;: 将 HTTP 请求重定向到 HTTPS。
• location /:配置网站的主要路由

七、测试 HTTPS

配置完成后，重启 Nginx 服务：

bash
sudo systemctl restart nginx

然后在浏览器中访问你的域名，确保浏览器地址栏显示一个锁形图标，并且网站能够正常加载。你还可以使用在线 SSL 检测工具（如 SSL Labs 的 SSL Server Test）来检查你的 SSL 配置是否安全。

八、自动续期 SSL 证书

Let's Encrypt 颁发的证书有效期为 90 天。为了确保证书持续有效，我们需要设置自动续期。Certbot 提供了一个方便的命令来测试和执行续期：

• 测试续期:

bash
sudo certbot renew --dry-run

• 执行续期:

bash
sudo certbot renew

为了实现自动续期，我们可以创建一个 cron 任务。运行以下命令编辑 crontab：

bash
sudo crontab -e

添加以下一行：

0 0 * * * /usr/bin/certbot renew --quiet

这将在每天的凌晨 0 点执行证书续期命令。--quiet 参数表示静默模式，只在发生错误时输出信息。

九、高级配置（可选）

1. 增强安全性:

   • 启用 HSTS（HTTP Strict Transport Security）:

     HSTS 强制浏览器始终使用 HTTPS 连接到你的网站，即使在用户输入 HTTP 地址时也是如此。在 Nginx 配置文件的 server 块中添加以下行：

     nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

   • 配置更安全的 SSL/TLS 参数:

     你可以自定义 Nginx 的 SSL/TLS 参数，例如禁用不安全的协议和密码套件，以提高安全性。以下是一些推荐的配置：

     nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;

     *更详细的安全配置，参考Mozilla提供的配置生成器：https://ssl-config.mozilla.org/

2. 配置 OCSP Stapling:

   OCSP Stapling 是一种优化 SSL 握手过程的技术，可以提高网站的加载速度。启用 OCSP Stapling 后，服务器会定期从 CA 获取 OCSP 响应，并在 SSL 握手过程中将其发送给客户端，从而避免客户端直接向 CA 查询证书状态。

   在 Nginx 配置文件的 server 块中添加以下行：

   nginx
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem; #注意是chain.pem

3. 配置 HTTP/2:

   HTTP/2 是 HTTP 协议的下一个版本，它提供了许多性能改进，如多路复用、头部压缩等。Nginx 从 1.9.5 版本开始支持 HTTP/2。

   要启用 HTTP/2，只需在 Nginx 配置文件的 listen 指令中添加 http2 参数：

   nginx
listen 443 ssl http2;

十、常见问题及解决方法

1. 证书获取失败:

   • 域名解析问题: 确保你的域名已经正确解析到服务器的 IP 地址。
   • 防火墙问题: 确保服务器的防火墙允许 80 端口和 443 端口的流量。
   • 网络问题: 检查服务器的网络连接是否正常。

2. 证书续期失败:

   • Cron 任务配置错误: 检查 cron 任务是否正确配置。
   • 权限问题: 确保 Certbot 具有足够的权限来读取和写入证书文件。

3. 网站无法通过 HTTPS 访问:

   • Nginx 配置错误: 仔细检查 Nginx 配置文件，确保 SSL 相关的配置正确。
   • 证书文件路径错误: 确保 ssl_certificate 和 ssl_certificate_key 指向正确的证书文件路径。

4. 浏览器显示“不安全”警告

   • 网站包含http的混合内容
   • 检查网站的CSS、JS、Image文件链接，是否使用了http://

十一、总结

通过本文的详细介绍，你应该已经掌握了如何使用 Nginx 和 Let's Encrypt 免费配置 HTTPS。配置 HTTPS 不仅可以提高网站的安全性，还可以带来 SEO 优化、用户信任等诸多好处。Let's Encrypt 的自动化和免费特性使得配置 HTTPS 变得更加简单和便捷。

记住，网站安全是一个持续的过程。定期检查你的 SSL 配置，更新 Nginx 和 Certbot 到最新版本，并关注安全漏洞，以确保你的网站始终保持安全可靠。

希望这篇文章对你有所帮助！如果你有任何问题或建议，欢迎留言讨论。