PHP配置HTTPS详细教程

PHP本身不处理HTTPS，其$_SERVER['HTTPS']变量的值完全依赖Web服务器（Apache或Nginx）主动透传协议信息；若未在Apache中配置SetEnv HTTPS on（或反向代理场景下的SetEnvIf X-Forwarded-Proto），或在Nginx中漏写fastcgi_param HTTPS on，该变量将恒为空或off——导致所有基于HTTPS判断的PHP逻辑（如安全Cookie、URL生成、API回调）悄然失效，且错误极其隐蔽；此外，证书路径错误、权限不当、格式不合规（如Nginx要求fullchain.pem而非仅cert.pem）、私钥泄露风险及HTTP→HTTPS跳转误写在PHP层等常见疏漏，都会让看似成功的HTTPS部署暗藏致命缺陷。

PHP 本身不处理 HTTPS，配置完全在 Web 服务器层（Apache/Nginx）；写 PHP 代码时若硬判 $_SERVER['HTTPS'] 却没配透传，结果永远是 off 或空——这不是 PHP 的错，是服务器漏了一行配置。

Apache 中 $_SERVER['HTTPS'] 为什么总是空

Apache 默认不会自动设置 $_SERVER['HTTPS']，哪怕你已监听 443 端口、证书全对、浏览器地址栏有锁图标。它只在明确告知 PHP “当前是 HTTPS” 时才填这个值。

• 必须在 块内加：SetEnv HTTPS on
• 如果前面有 CDN 或反向代理（如 Nginx → Apache），还要靠 SetEnvIf X-Forwarded-Proto https HTTPS=on 捕获真实协议
• 检查是否加载了 mod_ssl：apachectl -M | grep ssl，输出应含 ssl_module (shared)
• 别只信 .htaccess 里的重写跳转——那只是 redirect，不是协议状态透传

Nginx + PHP-FPM 下 $_SERVER['HTTPS'] 不生效

Nginx 根本不自动设 HTTPS 环境变量，fastcgi_param 不显式传，PHP 就收不到。现象是：Nginx 配了 listen 443 ssl，证书路径全对，但 var_dump($_SERVER['HTTPS']) 还是 null。

• 在 location ~ \.php$ 块里必须加：fastcgi_param HTTPS on;
• 若用了 CDN 或负载均衡，且它们把 https 转成 http 再发给 Nginx，需配合 map 指令：map $http_x_forwarded_proto $fastcgi_https { default off; https on; }，再用 fastcgi_param HTTPS $fastcgi_https;
• 注意：旧版 PHP-FPM 可能会把变量转成 $_SERVER['REDIRECT_HTTPS']，所以稳妥写法是：isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' || ($_SERVER['HTTP_X_FORWARDED_PROTO'] ?? '') === 'https'

证书路径和权限错一个字符就起不来

Apache/Nginx 启动不报错但 HTTPS 打不开？十有八九是证书路径写错、权限过高或格式不对。错误日志里常出现 SSL_CTX_use_certificate_chain_file() failed 或 file does not exist or is empty。

• Nginx 要求 ssl_certificate 是 fullchain.pem（证书+中间链拼一起），不能只放 cert.pem；ssl_certificate_key 必须是 privkey.pem，且权限严格为 600：chmod 600 /path/to/privkey.pem
• Apache 的 SSLCertificateFile 和 SSLCertificateKeyFile 必须是绝对路径；若写相对路径（如 conf/ssl/localhost.pem），它会相对于 ServerRoot 解析，不是当前配置文件位置
• 本地开发用 mkcert 生成证书最稳；手敲 openssl req 容易漏 subjectAltName，Chrome 直接拒连，报 NET::ERR_CERT_INVALID
• 证书别放 /var/www/html/ 这类 Web 可访问目录下——privkey.pem 一旦被 HTTP 暴露，私钥就彻底泄露

HTTP 强制跳转 HTTPS 别写在 PHP 里

用 header('Location: https://...') 做跳转，看似简单，实则埋雷：混合内容警告照出、重定向循环难排查、性能比服务器层低一个数量级。

• Apache：在 里用 Redirect permanent / https://example.com/，或用 RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]（确保 a2enmod rewrite 已启用）
• Nginx：在 server { listen 80; ... } 块里直接写：return 301 https://$host$request_uri;
• 别在 .htaccess 里重复写跳转规则——和主配置冲突时容易 500，且 Apache 要多一次文件 IO
• 跳转后立刻检查页面资源（图片、JS、CSS）是否仍走 http://，否则浏览器拦混合内容，页面白屏或功能异常

最常被忽略的点：你以为配完了 HTTPS，其实只是让 443 端口能通；真正影响 PHP 行为的是那行 SetEnv HTTPS on 或 fastcgi_param HTTPS on——漏掉它，所有基于协议判断的逻辑（URL 生成、安全 Cookie、API 回调地址）都会出错，而且错误非常隐蔽。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~