Linux系统Nginx服务器HTTPS证书安装配置教程

为Nginx启用HTTPS加密，看似复杂实则核心步骤清晰。关键在于确保Nginx编译时已包含--with-http_ssl_module模块，并正确配置证书与私钥的绝对路径及严格权限（私钥文件权限应为600）。实现HTTPS服务的最小化配置仅需三行指令：listen 443 ssl、ssl_certificate和ssl_certificate_key。若需将HTTP流量自动重定向至HTTPS，应使用独立的server块监听80端口，并通过return 301指令实现安全跳转。

简而言之，当Nginx已正确编译SSL模块且证书文件就绪后，配置HTTPS本质上就是修改配置文件并重启服务的过程。实践中常见的障碍往往源于前期检查的疏忽，例如：未编译SSL模块、私钥文件仍受密码保护、配置文件中的路径错误，或服务器防火墙未开放443端口。

确认 Nginx 是否支持 SSL 模块

首要步骤是验证当前Nginx安装是否已启用SSL功能。执行nginx -V命令（注意使用大写V），在输出的编译参数中查找--with-http_ssl_module。若未找到，则表明当前Nginx不支持HTTPS，强行配置ssl_certificate指令将导致服务启动失败。

• 切勿仅依赖nginx -t进行配置测试后便重启服务——若缺失SSL模块，连-t测试也会直接报错：unknown directive "ssl_certificate"。
• 若确认模块缺失，则需重新编译Nginx。进入Nginx源码目录，重新执行./configure命令，并在参数中明确添加--with-http_ssl_module，随后执行make && make install。
• 需注意一个隐蔽的依赖问题：系统可能已安装OpenSSL运行时库，但缺少对应的开发包（例如Ubuntu系统的libssl-dev或CentOS系统的openssl-devel）。这会导致configure阶段静默跳过SSL模块的编译，因此务必提前安装好这些开发包。

证书文件路径与权限设置

证书文件（通常为.crt或.pem格式）与私钥文件（.key格式）应放置在Nginx进程可读取且其他用户无法随意访问的安全目录中，例如/etc/nginx/ssl/。

• 私钥文件权限必须严格设置为600。执行命令：sudo chmod 600 /etc/nginx/ssl/example.com.key。权限设置不当将导致Nginx启动时报错：SSL_CTX_use_PrivateKey_file("...") failed。
• 证书文件权限建议设为644，因其内容为公开信息，宽松的读取权限不影响安全性。安全核心在于私钥的严格保护，绝不可设置为组或其他用户可读。
• 在Nginx配置文件中指定路径时，务必使用绝对路径。避免使用相对路径（如../ssl/cert.crt）或Shell扩展符号（如~），Nginx不会解析这些符号。正确写法应为：ssl_certificate /etc/nginx/ssl/example.com.crt;。

server 块中启用 HTTPS 的最小必要配置

在server配置块中启用HTTPS服务，最核心的配置仅需三行指令。其他如TLS协议版本、加密套件等参数属于性能优化与安全加固范畴，并非服务启动的必要条件。

• listen 443 ssl http2; —— 此处的ssl关键字必须存在，它指示Nginx在该端口启用TLS握手。
• ssl_certificate /etc/nginx/ssl/example.com.crt; —— 指向您的证书文件。请注意，若证书链不完整（例如缺少中间证书），浏览器可能提示“证书不可信”。解决方案是将中间证书的内容追加到该.crt文件末尾。
• ssl_certificate_key /etc/nginx/ssl/example.com.key; —— 指向匹配的私钥文件。此私钥文件必须是“无密码”的。若生成时使用了-des3等加密参数，需先用openssl rsa -in server.key.org -out server.key命令移除密码。
• 注意：切勿在同一个server块内同时配置listen 80和ssl_certificate指令，Nginx的配置检查会拒绝这种混合模式。

HTTP 自动跳转 HTTPS 的安全写法

实现HTTP到HTTPS的自动跳转，必须使用一个独立的server块专门监听80端口。并且，此块内绝对不允许出现任何以ssl_开头的指令，否则nginx -t配置测试将直接失败。

• 正确配置示例：server { listen 80; server_name example.com; return 301 https://$host$request_uri; }
• 常见错误：在上述80端口的server块中，错误地添加了ssl_certificate或已废弃的ssl on指令。这是新手在复制粘贴配置时极易踩中的陷阱。
• 若域名存在多个变体（例如同时拥有example.com和www.example.com），需在server_name后全部列出，或使用泛域名匹配（如*.example.com，但需注意泛域名通常不匹配根域名本身）。
• 配置跳转后，若首次访问HTTPS链接时浏览器提示“您的连接不是私密连接”，这通常是证书本身的问题（如证书链不完整或域名不匹配），而非跳转配置错误。

关于证书配置，有两个细节在测试阶段容易被忽略，直至正式上线才暴露问题：一是证书链的完整性，例如使用Let’s Encrypt证书时，应将fullchain.pem作为ssl_certificate的值，而非仅使用cert.pem；二是域名匹配的精确性，通配符证书*.example.com对根域名example.com是无效的，这一点在内部测试时因访问方式不同而常被绕过。