Ubuntu Nginx配置SSL证书步骤

Ubuntu 上 Nginx 配置 SSL 证书步骤

一 准备与前置检查

• 准备内容：已解析到服务器的域名（如：yourdomain.com 与 www.yourdomain.com）、服务器具备 sudo 权限、放通 80/443 端口（云厂商安全组与系统防火墙均需放行）。
• 安装 Nginx（如未安装）：执行 sudo apt update && sudo apt install nginx。
• 防火墙放行示例：使用 UFW 时执行 sudo ufw allow 'Nginx Full'（同时放行 80/443）。

二 方式一 使用 Certbot 自动获取并部署 Let’s Encrypt 证书（推荐）

• 安装 Certbot 与 Nginx 插件：sudo apt install certbot python3-certbot-nginx。
• 获取并自动配置证书：sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com，按提示选择是否重定向 HTTP→HTTPS。
• 自动续期：Let’s Encrypt 证书有效期 90 天，启用定时续期：sudo systemctl enable --now certbot.timer，可测试续期 sudo certbot renew --dry-run。
• 验证：访问 https://yourdomain.com，应显示浏览器锁标识；命令行可检查 openssl s_client -connect yourdomain.com:443 -servername yourdomain.com。

三 方式二 手动配置已有证书

• 放置证书：将证书与私钥放到安全目录（示例：/etc/nginx/ssl/），权限建议 600（私钥）。
• 站点配置示例（/etc/nginx/sites-available/yourdomain.com）：

  server {
      listen 80;
      server_name yourdomain.com www.yourdomain.com;
      return 301 https://$host$request_uri;
  }
  
  server {
      listen 443 ssl http2;
      server_name yourdomain.com www.yourdomain.com;
  
      ssl_certificate     /etc/nginx/ssl/your_certificate.crt;
      ssl_certificate_key /etc/nginx/ssl/your_private.key;
  
      ssl_protocols       TLSv1.2 TLSv1.3;
      ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                           ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
                           DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
      ssl_prefer_server_ciphers on;
  
      root /var/www/yourdomain.com;
      index index.html;
  
      location / {
          try_files $uri $uri/ =404;
      }
  }
  

• 启用站点并生效：
  • 软链：sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
  • 语法检查：sudo nginx -t
  • 重载或重启：sudo systemctl reload nginx（或 restart）
• 验证：浏览器访问 https://yourdomain.com；命令行可检查 openssl s_client -connect yourdomain.com:443 -servername yourdomain.com。

四 常见问题与进阶

• 证书链不完整导致浏览器告警：优先使用 fullchain 证书（如 Let’s Encrypt 的路径：/etc/letsencrypt/live/yourdomain.com/fullchain.pem），或在 Nginx 中引入官方提供的 options-ssl-nginx.conf 与 dhparam：

  ssl_certificate     /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
  include            /etc/letsencrypt/options-ssl-nginx.conf;
  ssl_dhparam         /etc/letsencrypt/ssl-dhparams.pem;
  

• 仅测试环境可用自签名证书：
  • 生成：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt
  • 配置 ssl_certificate 与 ssl_certificate_key 指向上述文件，浏览器会提示不受信任（仅用于测试）。
• 国密 SM2 证书（合规场景）：需 SM2/RSA 双证书 与支持国密的 Nginx（官方 Nginx+OpenSSL 不支持国密，需重编译并加载厂商模块，如 wotrus_ssl）；仅部署国密证书时，只有支持国密的浏览器（如密信浏览器、红莲花浏览器）可正常访问。