Linux下Nginx配置SSL证书开启HTTPS教程

本文详细讲解了在Linux服务器上为Nginx配置SSL证书、启用HTTPS的完整实践流程，涵盖SSL模块确认与编译启用、证书文件安全上传与权限设置、HTTP到HTTPS的301强制跳转配置、符合现代安全标准的443端口HTTPS服务块配置（支持TLSv1.2/TLSv1.3及强加密套件），以及多维度验证方法；无论你是初次部署还是排查HTTPS失效问题，都能从中获得清晰、可靠、一步到位的操作指南，助你快速实现网站全站加密、提升安全性与用户信任度。

如果您已在Linux服务器上部署Nginx，但网站仍通过HTTP访问，无法启用安全连接，则可能是SSL模块未启用或证书配置缺失。以下是实现HTTPS访问的多种配置方法：

一、确认并启用Nginx SSL模块

SSL功能依赖编译时启用--with-http_ssl_module参数，若未启用，Nginx将拒绝解析ssl_certificate等指令。需验证当前Nginx是否支持SSL，并在必要时重新编译。

1、进入Nginx安装目录的sbin子目录：cd /usr/local/nginx/sbin/

2、执行版本检查命令：./nginx -V 2>&1 | grep -i ssl

3、若输出中不含--with-http_ssl_module，说明模块未启用，需返回源码目录重新配置编译。

4、进入Nginx源码解压目录（如/home/soft/nginx），执行：./configure --prefix=/usr/local/nginx --with-http_ssl_module

5、执行make（注意：不执行make install，避免覆盖现有配置）

6、进入objs目录，替换二进制文件：cp ./nginx /usr/local/nginx/sbin/

7、输入y确认覆盖，再运行./nginx -V验证SSL模块已显示。

二、上传并放置SSL证书文件

证书文件必须存放在Nginx进程有读取权限的安全路径下，且私钥文件需严格限制访问权限，防止信息泄露。

1、从证书颁发机构下载Nginx类型证书包，解压后获取.crt（或.pem）和.key文件

2、使用WinSCP或scp命令上传至服务器，推荐路径为：/etc/nginx/ssl/

3、创建目录（若不存在）：sudo mkdir -p /etc/nginx/ssl

4、上传后设置私钥文件权限：sudo chmod 600 /etc/nginx/ssl/your_domain.key

5、确认文件所有权为Nginx运行用户（通常为www-data或nginx）：sudo chown nginx:nginx /etc/nginx/ssl/*.key

三、配置HTTP自动跳转HTTPS（301重定向）

该方法确保所有HTTP请求强制升级为HTTPS连接，提升安全性并避免混合内容警告。

1、编辑主配置文件：sudo vim /usr/local/nginx/conf/nginx.conf

2、在http块内新增一个server块，监听80端口：

3、写入以下内容：server { listen 80 default_server; listen [::]:80 default_server; server_name example.com www.example.com; return 301 https://$host$request_uri; }

4、保存退出，执行语法检查：sudo /usr/local/nginx/sbin/nginx -t

5、若提示success，则执行重载：sudo /usr/local/nginx/sbin/nginx -s reload

四、配置HTTPS服务块（含SSL证书与密钥）

此步骤定义实际响应HTTPS请求的server上下文，需指定证书路径、协议版本及加密套件，以满足现代安全标准。

1、在同一配置文件中，在HTTP块末尾新增第二个server块

2、监听443端口并启用SSL：server { listen 443 ssl http2; listen [::]:443 ssl http2;

3、填写域名：server_name example.com www.example.com;

4、指定证书与密钥路径（路径需与上传位置一致）：ssl_certificate /etc/nginx/ssl/example.com_bundle.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key;

5、添加TLS协议与加密策略：ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; ssl_prefer_server_ciphers off;

6、配置会话缓存提升性能：ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;

7、在location /中设置根目录与索引页，例如：root /usr/local/nginx/html; index index.html;

五、验证HTTPS配置有效性

配置生效后需通过多维度验证证书加载状态、协议协商结果及重定向行为，确保无中间人风险或兼容性缺陷。

1、重启Nginx服务：sudo /usr/local/nginx/sbin/nginx -s reload

2、使用curl检查HTTP跳转：curl -I http://example.com，确认返回301 Moved Permanently及Location: https://...

3、检查HTTPS响应头：curl -I https://example.com，确认返回200 OK且含Strict-Transport-Security头（可选添加）

4、使用OpenSSL验证证书链：openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -dates

5、访问https://example.com，在浏览器地址栏确认显示锁形图标且证书信息有效

以上就是《Linux下Nginx配置SSL证书开启HTTPS教程》的详细内容，更多关于的资料请关注golang学习网公众号！