Nginx 服务器安装SSL证书

问题概述：Nginx 服务器部署 SSL 证书的工程实践

Nginx 作为主流 Web 服务器，广泛用于 HTTPS 终端卸载。在实际部署中，SSL 证书的正确安装不仅涉及文件配置，还需考虑私钥安全、协议兼容性与中间证书链完整性。错误的配置可能导致 TLS 握手失败、浏览器不信任或性能下降。

本文讨论基于标准 Nginx 的 SSL 证书部署流程，涵盖证书准备、配置语法、链式验证与常见风险点，适用于 DV/OV/EV 类型的 X.509 证书。

核心技术原理与部署步骤

Nginx 不直接参与证书签发，仅负责加载 PEM 格式的证书链与私钥文件。其 ssl_certificate 指令需指向完整的证书链（含站点证书 + 中间 CA），而 ssl_certificate_key 指向解密后的私钥（RSA 或 ECDSA）。私钥应设置权限为 600 并归属 root 用户。

证书文件准备

从 CA 获取的证书通常为 CRT 或 PEM 格式。需将站点证书与中间 CA 合并为单个链文件，顺序为：

1. 服务器证书（your_domain.crt）
2. 中级 CA 1（如 DigiCert SHA2 Secure Server CA）
3. 中级 CA 2（如 DigiCert Global Root CA，若存在）

最终生成的 fullchain.pem 应可通过 openssl verify -CAfile trusted_root.pem fullchain.pem 验证路径。

Nginx 配置关键指令

核心配置片段如下：

server {
    listen 443 ssl http2;
    server_name example.com;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;

# 可选：OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/trusted_chain.pem;



}

TLS 1.3 已无需 cipher suite 强干预，优先启用 ECDHE 密钥交换与 AEAD 加密套件。

链式信任与浏览器兼容性

缺失中间证书是导致“此网站的连接不安全”的主因之一。Android 7 及以下、旧版 Java Runtime 对非对称信任链处理较弱，建议使用 SSL证书工具 中的链检测功能验证输出。

国产 CA 如 锐安信 sslTrus 或 CFCA 在国内设备中预置率高，但在国际场景可能依赖交叉签名提升兼容性。

工程判断与选型参考

对于新部署服务，推荐使用支持 ACME 协议的自动化方案（如 Certbot）结合 Let’s Encrypt 实现零成本续期。生产环境若需商业支持与更高保障，可考虑以下选项：

常见问题

Q：Nginx reload 后提示“no such file or directory”？ A：检查证书路径是否为绝对路径，SELinux 是否启用，以及 Nginx worker 进程是否有读取私钥权限。

Q：HTTPS 访问出现 ERR_SSL_VERSION_OR_CIPHER_MISMATCH？ A：确认客户端支持 TLS 1.2+，且 ssl_ciphers 未误配为过时套件（如包含 3DES 或 RC4）。

Q：如何实现自动续期？ A：使用 acme.sh 或 certbot 配合 DNS-01 挑战模式，定时任务执行后 reload Nginx（非 restart）。