太好了,你直接问到重点场景了:Nginx + HTTPS + 反向代理,这个组合是现代 Web 架构中最常见的一种部署方式。
咱们就从理论原理 → 实操配置 → 常见问题排查 → 高级玩法一层层剖开说,让你不仅能「复制粘贴部署」,还能知道「为什么这样写」。
一、你为什么需要 HTTPS + 反向代理?
简单讲:
- HTTPS: 是为了加密传输,避免中间人攻击、数据泄露,提升 SEO。
- 反向代理: 是为了隐藏你的后端服务,提高安全性、灵活性(比如负载均衡、缓存、路径转发等)。
一个标准流程长这样:
[ Client 浏览器 ]
↓ HTTPS
[ Nginx(SSL 终止 + 路由) ]
↓ HTTP(或 Unix Socket)
[ 后端服务:Node、Flask、SpringBoot等 ]
Nginx 起到的作用不仅仅是“转发”,它是个「SSL 终止器」,客户端的 HTTPS 在这就解密了,后端只处理明文 HTTP 请求,减轻了证书处理压力。
二、最小可运行的 HTTPS + 反向代理配置
Step 1: 申请证书(推荐 Let's Encrypt)
使用 Certbot 轻松搞定:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx
它会自动帮你配置 HTTPS,当然你也可以手动来。
假设你证书路径是:
- /etc/letsencrypt/live/yourdomain.com/fullchain.pem
- /etc/letsencrypt/live/yourdomain.com/privkey.pem
Step 2: 写 HTTPS 配置 + 反向代理
我们假设你后端跑在 localhost:3000,域名是 yourdomain.com。
server {
listen 443 ssl http2;
server_name yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
proxy_pass http://127.0.0.1:3000;
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
Step 3: HTTP 跳转到 HTTPS(强制加密)
server {
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri;
}
这个配置是让所有的 HTTP 请求自动跳转到 HTTPS,保护不够「安全意识」的用户。
三、再进阶一点:多个服务的转发
如果你是前后端分离架构:
- 前端 Vue/React 的静态文件:通过 Nginx 提供
- 后端 API:由 Nginx 转发请求
你可以这么写:
server {
listen 443 ssl http2;
server_name yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
location / {
root /var/www/frontend/dist;
index index.html;
try_files $uri $uri/ /index.html;
}
location /api/ {
rewrite ^/api/(.*)$ /$1 break;
proxy_pass http://127.0.0.1:4000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
四、一些非常关键的细节配置
1.HTTP/2 支持
listen 443 ssl http2;
HTTP/2 能大幅提升并发性能和页面加载速度。
2.SSL 安全加固
你可以加一些更严格的 SSL 配置:
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
还可以引入 Mozilla SSL Configuration Generator 给你最安全的模板。
3.WebSocket 支持
有些后端服务使用 WebSocket,比如在线聊天服务,需要加这个头:
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
否则 WebSocket 握手失败。
4.后端保持连接
proxy_http_version 1.1;
proxy_set_header Connection "";
这能避免因为 keep-alive 被中断导致的“502 Bad Gateway”问题。
5.文件上传 / 请求体过大限制
client_max_body_size 50M;
防止上传大文件时报 413 Request Entity Too Large。
五、HTTPS + 代理常见坑和排查方式
问题 | 可能原因 | 解决方式 |
502 Bad Gateway | 后端挂了 / 端口不通 / 防火墙拦截 | 用 curl http://127.0.0.1:3000 检查后端是否正常 |
403 Forbidden | 权限错误 / Nginx 没有读权限 | 确保 Nginx 用户能访问静态文件路径 |
404 Not Found | 前端是 SPA,刷新后路径丢失 | 配置 try_files $uri /index.html; |
SSL 无效或浏览器警告 | 证书过期 / 域名不匹配 | 使用 certbot renew 更新证书;确认域名 |
六、想再高级一点?上 stream 模块来转发 TCP/SSL
比如你有一个 MySQL 服务,不希望用户直接连,而是通过 Nginx 的 SSL:
stream {
upstream mysql_upstream {
server 127.0.0.1:3306;
}
server {
listen 3307 ssl;
proxy_pass mysql_upstream;
ssl_certificate /etc/ssl/certs/nginx.crt;
ssl_certificate_key /etc/ssl/private/nginx.key;
}
}
这能让你把任何 TCP 服务包装成 SSL 安全通道。
七、全自动 HTTPS 配置(脚本化运维)
你可以写个 deploy.sh 自动部署新服务、生成配置文件、申请证书并 reload Nginx:
#!/bin/bash
DOMAIN=$1
PORT=$2
CONF_PATH="/etc/nginx/conf.d/${DOMAIN}.conf"
sudo apt install certbot python3-certbot-nginx nginx -y
cat > $CONF_PATH <<EOF
server {
listen 80;
server_name ${DOMAIN};
return 301 https://${DOMAIN}\$request_uri;
}
server {
listen 443 ssl http2;
server_name ${DOMAIN};
ssl_certificate /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;
location / {
proxy_pass http://127.0.0.1:${PORT};
proxy_http_version 1.1;
proxy_set_header Host \$host;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto \$scheme;
}
}
EOF
certbot --nginx -d ${DOMAIN}
nginx -t && systemctl reload nginx
总结
今天的分享就到这里,如果你觉得对你有所帮助的话,不妨关注+点赞一下,你的点赞是我更新的动力。