Nginx是什么
Nginx 是一款高性能、轻量级、开源的 Web 服务器与反向代理软件,目前大量网站、API服务、CDN节点及云平台均使用Nginx作为前端流量入口。
自 2004 年发布以来,已成为全球高并发网站和云原生架构的核心组件之一。
它不依赖线程模型,而是采用事件驱动异步非阻塞 I/O 架构,在万级并发连接下仍保持极低内存占用与毫秒级响应延迟,被广泛用于静态资源服务、API 网关、负载均衡与 TLS 终止等关键场景。
TLS/SSL 在 Nginx 中的核心作用
HTTPS 加密与证书部署
Nginx 本身不生成 SSL/TLS 证书,但作为最主流的 TLS 终止节点,承担着加载 SSL证书、验证证书链完整性、执行 TLS 握手及加解密流量的全部职责。
在互联网和云计算环境中,Nginx是最常见的TLS终止节点之一,广泛用于HTTPS加密通信、负载均衡及反向代理场景。
显著降低后端应用(如 Node.js、Java Spring Boot)的 CPU 压力。
证书链信任机制
Nginx 必须显式配置完整证书链(含中间 CA 证书),
否则浏览器将因“证书链不完整”报错。
例如使用 Sectigo 或锐安信签发的证书时,需合并域名证书 + 中间证书为单个 PEM 文件,或通过 ssl_trusted_certificate 指令单独指定——
该细节可以在 TopSSL 提供的 SSL证书链下载 工具中已预处理完成。
Nginx 的典型 HTTPS 部署结构
| 组件 | 说明 | 部署建议** |
|---|---|---|
| 监听端口 | listen 443 ssl http2;启用 HTTP/2 与 TLS 1.2+ 协议 | 禁用 TLS 1.0/1.1;强制启用 OCSP Stapling(见Nginx 开启 OCSP Stapling 极致优化指南) |
| 证书路径 | ssl_certificate与ssl_certificate_key指向 PEM 格式文件 | 私钥必须为 RSA 或 ECDSA 格式;国密 SM2 证书需搭配支持国密的 OpenSSL 分支(参考国密SM2证书Nginx安装指南) |
| 加密套件 | ssl_ciphers控制协商算法优先级 | 推荐使用ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;避免弱算法(如 RC4、SHA1) |
真实运维经验:Nginx 与证书生命周期管理
企业在使用Let's Encrypt自动续期时,经常出现 Nginx 节点因未同步更新 Let's Encrypt 证书导致部分请求返回 ERR_SSL_VERSION_OR_CIPHER_MISMATCH。
根本原因是证书自动续期脚本仅更新主节点,未触发 systemctl reload nginx 全局重载。
解决方案是:
将 免费SSL证书 的 renew-hook 配置为分发脚本 + Ansible 批量 reload,确保所有边缘节点证书状态一致。
这个实践已沉淀为续订SSL证书以及如何更新通配符ssl证书文档中的标准流程。
Nginx部署SSL最容易出现的5个错误
1. 证书文件路径配置错误
ssl_certificate 或 ssl_certificate_key 指向错误路径会导致Nginx启动失败。
2. 未配置完整证书链
浏览器可能提示证书链不完整或证书不受信任。
3. 私钥与证书不匹配
证书和私钥不是同一对生成时,会导致TLS握手失败。
4. HTTPS页面引用HTTP资源
浏览器会出现“不安全”提示。
5. 证书更新后未重载Nginx
证书虽然已更新,但服务仍使用旧证书。
常见问题
Q:Nginx 安装 SSL 证书后为什么浏览器仍显示“不安全”?
A:常见原因包括证书链缺失、域名不匹配、HSTS 强制跳转未配置 HTTPS、或服务器时间偏差超 5 分钟。建议使用SSL证书检查工具一键诊断。
Q:能否用一张通配符SSL证书保护多个子域名并部署在不同 Nginx 实例上?
A:可以。
通配符证书(如 *.example.com)授权所有一级子域名,且私钥可复制部署至任意数量服务器——但需注意私钥泄露风险,建议配合 HSM 或密钥轮换策略。
Q:Nginx 支持国密 SSL 证书吗?
A:原生 Nginx 不支持 SM2/SM3/SM4,需编译国密增强版 OpenSSL(如 BabaSSL 或 GMSSL)并重新构建。华测、沃通等厂商提供预编译包。
京公网安备11010502031690号
网站经营企业工商营业执照
