Nginx配置SSL证书实现HTTPS教程

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《Nginx配置SSL证书实现HTTPS访问教程》，聊聊，我们一起来看看吧！

Nginx配置HTTPS需确保ssl_certificate和ssl_certificate_key路径正确、权限开放、证书链完整；证书须为PEM格式且用绝对路径；server块中必须同时配置证书、私钥及listen 443 ssl；证书应为域名证书与中间证书拼接的fullchain.pem；HTTP跳转HTTPS需兼容前置代理；证书更新应原子替换并执行nginx -t校验。

直接上结论：Nginx 配置 HTTPS 不是“加个证书就行”，关键在 ssl_certificate 和 ssl_certificate_key 路径是否正确、权限是否放开、证书链是否完整——三者错一个，nginx -t 就会报 SSL_CTX_use_PrivateKey_file("...") failed 或 no suitable certificate found。

确认证书文件格式和路径是否合法

Nginx 只接受 PEM 格式的证书和私钥，且必须是明文 ASCII（以 -----BEGIN CERTIFICATE----- 开头）。常见错误包括：

• 把 PFX/P12 文件直接丢进配置，Nginx 无法读取
• 私钥被加密（含 DEK-Info 行），启动时会卡住或报 SSL_CTX_use_PrivateKey_file failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password)
• 路径用了相对路径（如 ./cert.pem），Nginx 实际工作目录不一定是你想象的目录，一律用绝对路径

检查命令示例：

file /etc/nginx/ssl/example.com.crt
openssl x509 -in /etc/nginx/ssl/example.com.crt -text -noout | head -5
openssl rsa -in /etc/nginx/ssl/example.com.key -check -noout

server 块中必须同时声明证书和私钥，并启用 TLS 协议

只写 ssl_certificate 不写 ssl_certificate_key，或者漏掉 listen 443 ssl，Nginx 会静默忽略 HTTPS 配置，请求仍走 HTTP 端口。

最小可用配置片段：

server {
    listen 443 ssl;
    server_name example.com;
<pre class="brush:php;toolbar:false;">ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;

# 推荐加上完整证书链（尤其 Let's Encrypt 的 fullchain.pem）
# ssl_certificate /etc/nginx/ssl/fullchain.pem;

location / {
    proxy_pass http://backend;
}

}

注意：ssl_certificate 必须指向「域名证书 + 中间证书」拼接后的文件（即 fullchain.pem），不能只放域名证书；否则 iOS 和部分安卓设备会校验失败。

HTTP 自动跳转 HTTPS 容易忽略的两个细节

写 return 301 https://$host$request_uri; 很常见，但有两个实际踩坑点：

• 如果 Nginx 前面还有一层 CDN 或 LB（如阿里云 SLB、Cloudflare），真实客户端 IP 是 X-Forwarded-Proto，此时仅靠 listen 80 上的 return 会形成跳转循环
• $host 可能带端口（如 example.com:80），导致跳转 URL 错误，应改用 $server_name 或显式写死域名

更稳妥的写法（兼容前置代理）：

server {
    listen 80;
    server_name example.com;
<pre class="brush:php;toolbar:false;">if ($http_x_forwarded_proto = 'http') {
    return 301 https://$server_name$request_uri;
}
return 301 https://$server_name$request_uri;

}

证书热更新无需 reload，但要注意文件替换原子性

Let’s Encrypt 的 certbot renew 默认会覆盖旧文件。如果新证书写入过程中被 Nginx 读到一半，可能触发解析失败甚至 worker crash。安全做法是：

• 用 mv 原子替换（先写临时文件，再 mv new.crt cert.crt）
• 避免用 cp 直接覆盖，尤其当证书文件较大时
• 替换后执行 nginx -t && nginx -s reload，不要省略 -t

另外，ssl_session_cache 和 ssl_session_timeout 建议保留默认值（如 shared:SSL:10m），盲目调大反而可能耗尽共享内存。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。