Nginx 是一個(gè)高效的 Web 服務(wù)器和反向代理服務(wù)器，廣泛應(yīng)用于處理 HTTPS 請(qǐng)求。SSL/TLS（Secure Sockets Layer/Transport Layer Security）是用來加密客戶端與服務(wù)器之間通信的協(xié)議，確保數(shù)據(jù)的保密性、完整性和身份認(rèn)證。在現(xiàn)代的 Web 服務(wù)架構(gòu)中，啟用 SSL/TLS 加密已經(jīng)成為標(biāo)準(zhǔn)實(shí)踐，不僅能夠保護(hù)用戶的數(shù)據(jù)安全，還能提升網(wǎng)站的 SEO 排名和可信度。

一、SSL/TLS 基礎(chǔ)概念

1.1 什么是 SSL/TLS？

SSL（Secure Sockets Layer）和 TLS（Transport Layer Security）都是加密協(xié)議，主要用于保護(hù)網(wǎng)絡(luò)通信的安全。SSL 是最早的版本，而 TLS 是其后續(xù)版本。盡管 TLS 更為安全和高效，但由于歷史原因，人們通常習(xí)慣性地稱其為 SSL。

SSL/TLS 協(xié)議通過對(duì)稱加密和非對(duì)稱加密相結(jié)合的方式，在客戶端和服務(wù)器之間建立一個(gè)安全的加密通道，防止數(shù)據(jù)在傳輸過程中被竊取或篡改。

1.2 SSL/TLS 工作原理

SSL/TLS 協(xié)議的工作原理可以概括為以下幾個(gè)步驟：

• 客戶端發(fā)起連接請(qǐng)求：客戶端（如瀏覽器）請(qǐng)求與服務(wù)器建立 HTTPS 連接。
• 服務(wù)器發(fā)送證書：服務(wù)器響應(yīng)請(qǐng)求，并將其 SSL/TLS 證書發(fā)送給客戶端。
• 證書驗(yàn)證：客戶端驗(yàn)證服務(wù)器證書是否由受信任的證書頒發(fā)機(jī)構(gòu)（CA）簽發(fā)。
• 密鑰交換：客戶端和服務(wù)器通過公鑰加密和私鑰解密的方式交換加密密鑰。
• 加密通信：雙方使用對(duì)稱加密（對(duì)稱密鑰）進(jìn)行后續(xù)的通信，確保數(shù)據(jù)的機(jī)密性和完整性。

二、Nginx SSL/TLS 配置

2.1 基本的 SSL 配置

為了在 Nginx 中啟用 SSL/TLS 加密，首先需要準(zhǔn)備一個(gè)有效的 SSL 證書。你可以購(gòu)買一個(gè) SSL 證書，或使用免費(fèi)的 Let’s Encrypt 證書。以下是基本的 Nginx SSL 配置步驟。

2.1.1 獲取 SSL 證書

在開始配置之前，需要準(zhǔn)備以下兩項(xiàng)文件：

• SSL 證書文件（.crt 或 .pem）
• SSL 私鑰文件（.key）

你可以從證書頒發(fā)機(jī)構(gòu)（CA）購(gòu)買證書，或者使用免費(fèi)的 Let’s Encrypt 證書。

2.1.2 配置 Nginx 啟用 SSL

• 在 Nginx 的 server 塊中配置 SSL。你需要指定證書文件和私鑰文件的位置：

server {
    listen 443 ssl;  # 啟用 HTTPS（443 端口）
    server_name www.example.com;  # 服務(wù)器域名

    ssl_certificate /etc/nginx/ssl/example.crt;  # 證書文件路徑
    ssl_certificate_key /etc/nginx/ssl/example.key;  # 私鑰文件路徑

    # 配置其他相關(guān) SSL 設(shè)置
    ssl_protocols TLSv1.2 TLSv1.3;  # 啟用的協(xié)議版本
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';  # 加密套件
    ssl_prefer_server_ciphers on;  # 優(yōu)先使用服務(wù)器配置的加密套件
}

• listen 443 ssl：?jiǎn)⒂?443 端口上的 HTTPS 服務(wù)。
• ssl_certificate：指定 SSL 證書文件的路徑。
• ssl_certificate_key：指定 SSL 私鑰文件的路徑。

2.1.3 配置 HTTP 到 HTTPS 的重定向

為了確保所有的流量都通過 HTTPS 傳輸，可以設(shè)置 HTTP 到 HTTPS 的重定向。以下是配置方法：

server {
    listen 80;
    server_name www.example.com;

    # 強(qiáng)制所有 HTTP 請(qǐng)求跳轉(zhuǎn)到 HTTPS
    return 301 https://$server_name$request_uri;
}

三、優(yōu)化 SSL/TLS 配置

3.1 啟用現(xiàn)代 TLS 協(xié)議

SSL 2.0 和 SSL 3.0 已被認(rèn)為不安全，因此在配置 Nginx 時(shí)，應(yīng)確保只啟用安全的 TLS 協(xié)議版本，如 TLS 1.2 和 TLS 1.3。

ssl_protocols TLSv1.2 TLSv1.3;  # 禁用 SSL 2.0 和 SSL 3.0

3.2 配置加密套件

SSL/TLS 加密套件定義了加密算法和密鑰交換算法的組合。Nginx 允許我們配置要使用的加密套件，以確保加密通信的安全性。選擇合適的加密套件非常重要，它能抵御諸如中間人攻擊、降級(jí)攻擊等安全風(fēng)險(xiǎn)。

ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;  # 優(yōu)先使用服務(wù)器的加密套件

選擇這些加密套件時(shí)，要優(yōu)先選擇支持前向保密（Forward Secrecy）的加密算法。

3.3 啟用 HSTS（HTTP 嚴(yán)格傳輸安全）

HSTS（HTTP Strict Transport Security）是一個(gè) Web 安全策略，它可以告訴瀏覽器，只能通過 HTTPS 協(xié)議訪問網(wǎng)站，從而防止中間人攻擊?？梢酝ㄟ^ Strict-Transport-Security HTTP 頭來啟用 HSTS。

server {
    listen 443 ssl;
    server_name www.example.com;

    # 啟用 HSTS（最大有效期為 1 年）
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
}

3.4 啟用 OCSP Stapling

OCSP（Online Certificate Status Protocol）用于檢查證書是否被吊銷。啟用 OCSP Stapling 可以減少客戶端每次都向證書頒發(fā)機(jī)構(gòu)（CA）請(qǐng)求證書狀態(tài)的需要，從而提高性能。

ssl_stapling on;
ssl_stapling_verify on;

3.5 配置 SSL 會(huì)話緩存

通過啟用 SSL 會(huì)話緩存，可以提高 TLS 握手的效率。Nginx 支持將 SSL 會(huì)話緩存到內(nèi)存或磁盤，以便多次握手時(shí)復(fù)用，從而加速加密過程。

ssl_session_cache shared:SSL:10m;  # 會(huì)話緩存設(shè)置為 10MB
ssl_session_timeout 1d;  # 會(huì)話超時(shí)時(shí)間設(shè)置為 1 天

3.6 優(yōu)化 SSL 性能

Nginx 提供了一些性能優(yōu)化選項(xiàng)來減少 SSL 握手的延遲。以下是常用的優(yōu)化方法：

• 啟用 ssl_session_cache 和 ssl_session_timeout：如前所述，這可以提高性能，避免每次建立新連接時(shí)都進(jìn)行完整的握手。
• 啟用 ssl_prefer_server_ciphers：指定 Nginx 優(yōu)先選擇服務(wù)器端支持的加密套件，以便客戶端不強(qiáng)制使用較弱的加密算法。

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_prefer_server_ciphers on;

四、常見 SSL/TLS 配置問題及解決方案

4.1 SSL 握手失敗

SSL 握手失敗可能由多種原因?qū)е?，例如?/p>

• 證書鏈不完整：確保中間證書（Intermediate Certificate）已正確配置，并且整個(gè)證書鏈完整。
• TLS 協(xié)議版本不匹配：確保客戶端和服務(wù)器都支持相同的 TLS 協(xié)議版本。

解決方法：

• 確保 Nginx 配置了合適的證書鏈和協(xié)議。
• 使用 SSL Labs 等工具檢查 SSL 配置，確保沒有問題。

4.2 “Mixed Content” 問題

當(dāng)頁(yè)面通過 HTTPS 加載時(shí)，頁(yè)面內(nèi)的某些資源（如圖片、CSS、JavaScript）仍通過 HTTP 加載時(shí)，瀏覽器會(huì)顯示“Mixed Content”警告。為了解決這個(gè)問題，需要確保所有的資源都通過 HTTPS 加載。

4.3 SSL 證書不被信任

如果客戶端無法驗(yàn)證 SSL 證書，可能是由于證書未被信任的根證書機(jī)構(gòu)簽發(fā)。確保使用受信任的 CA 頒發(fā)證書，或使用 Let’s Encrypt 這類免費(fèi)的證書。

五、總結(jié)

通過在 Nginx 中配置 SSL/TLS，我們能夠有效地保護(hù)用戶數(shù)據(jù)的安全，防止中間人攻擊、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。除了基礎(chǔ)的 SSL 配置外，還應(yīng)關(guān)注協(xié)議版本、加密套件、HSTS、OCSP 和會(huì)話緩存等高級(jí)設(shè)置，從而提升 SSL/TLS 的安全性和性能。

到此這篇關(guān)于Nginx SSL/TLS配置的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx SSL/TLS 內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！