Nginx配置SSL證書(shū)的方法步驟

更新時(shí)間：2025年02月11日 10:07:04 作者：程序猿進(jìn)階

本文主要介紹了Nginx配置SSL證書(shū),成功配置SSL證書(shū)后,您將能夠通過(guò)HTTPS加密通道安全訪問(wèn)Nginx服務(wù)器,感興趣的可以了解一下

一.ssl證書(shū)下載

ssl證書(shū)下載,可通過(guò)阿里云或者騰訊云申請(qǐng)免費(fèi)ssl證書(shū)(證書(shū)域名需要購(gòu)買(mǎi))

以上為騰訊云,申請(qǐng)成功后可在頁(yè)面下載ssl證書(shū),類型選擇nginx的那種就行,適用大部分場(chǎng)景;

二:nginx配置

下載ssl證書(shū)后會(huì)得到四個(gè)文件

將文件上傳到和nginx同目錄下,或者自己指定位置即可

  ssl_session_cache    shared:SSL:1m;
  ssl_session_timeout  5m;
  ssl_ciphers  HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers  on;
  ssl_certificate      path/to/you/youyuming.cn_bundle.pem;
  ssl_certificate_key  path/to/you/youyuming.cn.key;

另外需要在監(jiān)聽(tīng)的端口后加上ssl;

配置說(shuō)明:

1. ssl_session_cache shared:SSL:1m;

作用：設(shè)置SSL會(huì)話緩存。這有助于加速重復(fù)連接，因?yàn)榭蛻舳撕头?wù)器不需要為每個(gè)新連接重新協(xié)商整個(gè)SSL/TLS握手。
參數(shù)解釋：
- shared:SSL:：創(chuàng)建一個(gè)名為SSL的共享內(nèi)存區(qū)域，用于存儲(chǔ)會(huì)話信息。共享內(nèi)存區(qū)可以在多個(gè)worker進(jìn)程之間共享，從而提高效率。
- 1m：分配給這個(gè)共享緩存的內(nèi)存量（1兆字節(jié)）。根據(jù)您的服務(wù)器流量和需要支持的同時(shí)連接數(shù)，可以調(diào)整這個(gè)值。

2. ssl_session_timeout 5m;

作用：定義SSL會(huì)話緩存的有效期。一旦超過(guò)了這個(gè)時(shí)間，如果客戶端再次嘗試建立連接，則需要重新進(jìn)行完整的SSL/TLS握手。
參數(shù)解釋：
- 5m：表示5分鐘。可以根據(jù)需求調(diào)整此超時(shí)值以平衡性能與資源使用。

3. ssl_ciphers HIGH:!aNULL:!MD5;

作用：指定允許使用的加密套件（cipher suites），即決定客戶端和服務(wù)器之間的通信應(yīng)該使用哪些加密算法。
參數(shù)解釋：
- HIGH：選擇高強(qiáng)度的加密算法。
- !aNULL：禁止無(wú)身份驗(yàn)證的加密套件，這意味著所有加密套件都必須包含某種形式的身份驗(yàn)證。
- !MD5：排除使用MD5哈希算法的加密套件，因?yàn)镸D5被認(rèn)為不再安全。

4. ssl_prefer_server_ciphers on;

作用：?jiǎn)⒂梅?wù)器端優(yōu)先級(jí)。當(dāng)這個(gè)選項(xiàng)被激活時(shí)，Nginx將使用其配置文件中定義的加密套件順序，而不是依賴于客戶端提供的順序。
參數(shù)解釋：
- on：開(kāi)啟服務(wù)器端優(yōu)先級(jí)。推薦啟用此選項(xiàng)以確保使用更安全的加密套件。

5. ssl_certificate /path/to/your/youyuming.cn_bundle.pem;

作用：指定服務(wù)器證書(shū)的位置。這是用來(lái)證明服務(wù)器身份的數(shù)字證書(shū)。
參數(shù)解釋：
- /path/to/your/youyuming.cn_bundle.pem：證書(shū)文件的路徑。應(yīng)替換為實(shí)際的證書(shū)文件路徑。