如何在Nginx服务器上启用并配置SSL证书？_产品资讯

发布时间:2024-10-04 05:43

阅读量:0

在Nginx服务器中启用SSL，需要编辑nginx.conf文件，配置SSL证书和密钥文件路径，并重启Nginx服务。

1、准备工作

安装 Nginx

在 Ubuntu 上安装 Nginx：通过命令sudo apt update 更新包列表，然后使用sudo apt install nginx 命令进行安装。

在 CentOS 上安装 Nginx：首先安装 EPEL 仓库，使用sudo yum install epel-release，然后通过sudo yum install nginx 命令安装 Nginx。

验证 Nginx 是否正常运行：安装完成后，通过命令sudo systemctl start nginx 启动 Nginx，并使用sudo systemctl enable nginx 确保其在系统启动时自动运行，检查 Nginx 状态以确保其正确运行。

获取 SSL 证书

使用 Let’s Encrypt 获取证书：安装 Certbot，用于自动化证书获取和续订，通过运行sudo apt install certbot python3-certbot-nginx 进行安装，然后使用sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com 获取证书，其中需要替换yourdomain.com 为您的域名。

2、配置 Nginx 启用 SSL

编辑 Nginx 配置文件：找到并打开您的 Nginx 配置文件，通常位于/etc/nginx/sites-available/default 或/etc/nginx/nginx.conf。

添加 SSL 配置：在 server 块中添加以下内容，确保将yourdomain.com 和www.yourdomain.com 替换为您的实际域名，同时根据实际路径修改证书文件的路径。

```plaintext

server {

listen 443 ssl;

server_name yourdomain.com www.yourdomain.com;

ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

location / {

proxy_pass http://localhost:3000;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

```

3、强化 SSL 配置

选择安全的加密套件：为了提高安全性，建议使用推荐的加密套件，如：

```plaintext

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';

ssl_prefer_server_ciphers on;

```

启用 HTTP Strict Transport Security (HSTS)：通过添加以下行来防止中间人攻击：

```plaintext

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

```

4、测试 SSL 配置

验证配置：在重启 Nginx 之前，先通过运行sudo nginx -t 来测试配置文件的正确性，如果一切正常，使用sudo systemctl restart nginx 重启 Nginx 以使更改生效。

使用 SSL Labs 在线工具：您可以使用 SSL Labs 在线工具来检查 SSL 配置的安全性，确保所有设置都已正确应用。

5、续订和更新 SSL 证书

自动续订：Let’s Encrypt 的证书有效期为90天，Certbot 默认会自动设置 cron 任务进行续订，但您也可以手动测试续订，通过运行sudo certbot renew --dry-run 来检查续订过程是否正常。

支持

资讯

如何在Nginx服务器上启用并配置SSL证书？

相关阅读

广告一刻