完整的 NGINX 配置 HTTPS 的教程

在现代互联网环境中，HTTPS（超文本传输安全协议）已成为保障网站安全的重要标准。通过 SSL/TLS 协议对通信进行加密，HTTPS 可以有效防止中间人攻击、数据泄露等安全问题。本文将详细介绍如何在 NGINX 上配置 HTTPS，确保网站访问的安全性。

1. 获取 SSL 证书

首先，在配置 HTTPS 之前，需要获取一个有效的 SSL 证书。可以选择购买商业 SSL 证书，也可以使用免费的 Let’s Encrypt 来申请证书。通常有两种方式：

• 购买商业证书：从受信任的证书颁发机构（CA）购买证书，例如 DigiCert、GlobalSign 等。
• 免费证书：通过 Let's Encrypt 获取免费的 SSL 证书。Let's Encrypt 提供自动化证书申请与续期服务。

一旦获得证书，通常会得到以下两个文件：

• 证书文件 (.crt 或 .pem)。
• 私钥文件 (.key)。

请将这些文件上传到您的 NGINX 服务器上，并确保它们的权限设置正确，以防止其他用户读取。

2. 配置 NGINX 使其支持 HTTPS

步骤 1：编辑 NGINX 配置文件

打开 NGINX 配置文件，一般位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default。在配置文件中，找到 server 块，并进行修改。

步骤 2：配置 HTTP 到 HTTPS 的重定向

为了确保用户访问 HTTP 协议时自动跳转到 HTTPS，我们需要设置一个重定向规则。修改如下：

server {
    listen 80;
    server_name your_domain.com;

    # 强制 HTTP 到 HTTPS 的重定向
    return 301 https://$host$request_uri;
}

解释：

• listen 80;：监听 80 端口（即 HTTP 请求）。
• server_name your_domain.com;：将此行替换为您自己域名。
• return 301 https://$host$request_uri;：这条配置表示所有 HTTP 请求将被永久重定向到 HTTPS。

步骤 3：配置 HTTPS 的 server 块

接下来，配置 NGINX 监听 443 端口并启用 SSL：

server {
    listen 443 ssl;
    server_name your_domain.com;

    # 指定 SSL 证书路径
    ssl_certificate /path/to/your_domain_com.crt;
    ssl_certificate_key /path/to/your_domain_com.key;

    # 配置 SSL 协议和加密套件
    ssl_protocols TLSv1.2 TLSv1.3;  # 推荐启用 TLS 1.2 和 1.3
    ssl_prefer_server_ciphers on;  # 启用服务器端优先的加密套件
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";  # 安全的加密套件
    ssl_session_cache shared:SSL:10m;  # 启用 SSL 会话缓存以提升性能
    ssl_session_timeout 10m;  # 设置会话超时时间

    # 配置其他 HTTP 头部以增强安全性
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;  # 启用 HTTP Strict Transport Security (HSTS)
    add_header X-Frame-Options SAMEORIGIN;  # 防止点击劫持
    add_header X-XSS-Protection "1; mode=block";  # 启用 XSS 防护
    add_header X-Content-Type-Options nosniff;  # 防止 MIME 类型嗅探

    # 其他的 web 配置...
}

解释：

• listen 443 ssl;：监听 443 端口并启用 SSL。
• ssl_certificate 和 ssl_certificate_key：指定 SSL 证书和私钥的路径。
• ssl_protocols TLSv1.2 TLSv1.3;：启用 TLS 1.2 和 1.3 协议，建议使用 TLSv1.3。
• ssl_ciphers：设置使用的加密套件，以确保安全性。
• ssl_session_cache 和 ssl_session_timeout：启用 SSL 会话缓存，提高性能。
• HSTS：HTTP 严格传输安全策略，强制客户端仅通过 HTTPS 访问，防止中间人攻击。

3. 重启 NGINX 服务

配置完成后，需要重启 NGINX 使其生效：

sudo service nginx restart

或者使用：

sudo systemctl restart nginx

这样，NGINX 将加载新的配置并开始使用 HTTPS 服务。

4. 验证 HTTPS 配置

完成配置并重启 NGINX 后，您可以通过以下方式验证 HTTPS 是否生效：

1. 在浏览器中访问 https://your_domain.com，检查是否可以成功访问并且地址栏中显示安全锁图标。
2. 使用 curl 命令验证 HTTPS 请求：
3. curl -I https://your_domain.com
4. 如果看到 HTTP/1.1 200 OK 或类似响应，则说明 HTTPS 配置成功。

5. 常见的额外安全配置

为了进一步增强 HTTPS 安全性，可以考虑以下配置：

• OCSP Stapling：启用 OCSP（在线证书状态协议）来验证证书是否被吊销。
• ssl_stapling on; ssl_stapling_verify on;
• 更强的加密配置：可以使用 Mozilla 推荐的加密套件（Mozilla SSL Configuration Generator）生成适合您环境的配置。
• TLS 密码套件限制：只启用现代且安全的密码套件，禁用弱密码。
• ssl_ciphers 'ECDHE+AESGCM:ECDHE+AES128:!EXPORT:!DES:!3DES:!RC4:!MD5:!SSLv3';

总结

通过上述步骤，您已经成功在 NGINX 上配置了 HTTPS。配置 HTTPS 不仅能够加密客户端和服务器之间的通信，还能增强网站的安全性，保护用户隐私。以下是本教程的关键点总结：

通过合理的配置和优化，您可以提高网站的安全性，确保用户在访问时获得安全的加密连接。