如何使用Nginx反向代理为API接口添加SSL证书

在 Nginx 中为 API 接口启用 SSL/TLS，本质是将 Nginx 配置为 HTTPS 入口网关，后端仍可保持 HTTP（或 HTTPS）通信。核心步骤包括：获取并部署 ssl证书、配置 server 块监听 443 端口、启用 TLS 协议与密钥交换参数、设置 proxy_pass 转发至上游 API 服务。

典型配置示例如下（假设 API 服务运行在 http://127.0.0.1:8080）：

server {
    listen 443 ssl http2;
    server_name api.example.com;
ssl_certificate /etc/nginx/ssl/api.example.com/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/api.example.com/privkey.pem;
ssl_trusted_certificate /etc/nginx/ssl/api.example.com/chain.pem;

# 推荐 TLS 参数（兼容性与安全性平衡）
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

location / {
    proxy_pass http://127.0.0.1:8080;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

}
可选：HTTP 自动跳转 HTTPS
server {
listen 80;
server_name api.example.com;
return 301 https://$server_name$request_uri;
}

证书文件通常由 免费ssl证书（如 Let’s Encrypt）或商业 CA（如 Sectigo、Digicert）签发，需确保 fullchain.pem 包含域名证书 + 中间证书，privkey.pem 为私钥（权限应设为 600）。

需要注意的情况

• 若后端 API 服务本身要求 HTTPS（如跨域调用或合规审计），需在 proxy_pass 中使用 https:// 并配置 proxy_ssl_* 指令验证上游证书（例如 proxy_ssl_verify on + proxy_ssl_trusted_certificate）
• API 若涉及 WebSocket（如 /ws 路径），必须保留 Upgrade 和 Connection 头，否则连接会降级为 HTTP 长轮询
• 证书链不完整会导致部分客户端（如 Java HttpClient、旧版 Android WebView）校验失败；建议用 ssl证书工具 在线检测链路完整性
• Nginx 版本需 ≥1.11.0（支持 TLSv1.3）；OpenSSL 库版本建议 ≥1.1.1（否则无法启用 TLSv1.3）