Nginx配置SSL证书的全流程

一、ssl证书下载

ssl证书下载，可通过阿里云或者腾讯云申请免费ssl证书(证书域名需要购买)

以上为腾讯云，申请成功后可在页面下载ssl证书，类型选择nginx的那种就行，适用大部分场景；

二、nginx配置

下载ssl证书后会得到四个文件

将文件上传到和nginx同目录下,或者自己指定位置即可

ssl_session_cache shared:ssl:1m;
ssl_session_timeout 5m;
ssl_ciphers high:!anull:!md5;
ssl_prefer_server_ciphers on;
ssl_certificate path/to/you/youyuming.cn_bundle.pem;
ssl_certificate_key path/to/you/youyuming.cn.key;

另外 需要在监听的端口后加上ssl;

配置说明：

1. ssl_session_cache shared:ssl:1m;

作用：设置ssl会话缓存。这有助于加速重复连接，因为客户端和服务器不需要为每个新连接重新协商整个ssl/tls握手。

参数解释：

• shared:ssl:：创建一个名为ssl的共享内存区域，用于存储会话信息。共享内存区可以在多个worker进程之间共享，从而提高效率。
• 1m：分配给这个共享缓存的内存量（1兆字节）。根据您的服务器流量和需要支持的同时连接数，可以调整这个值。

2. ssl_session_timeout 5m;

作用：定义ssl会话缓存的有效期。一旦超过了这个时间，如果客户端再次尝试建立连接，则需要重新进行完整的ssl/tls握手。

参数解释：

• 5m：表示5分钟。可以根据需求调整此超时值以平衡性能与资源使用。

3. ssl_ciphers high:!anull:!md5;

作用：指定允许使用的加密套件（cipher suites），即决定客户端和服务器之间的通信应该使用哪些加密算法。

参数解释：

• high：选择高强度的加密算法。
• !anull：禁止无身份验证的加密套件，这意味着所有加密套件都必须包含某种形式的身份验证。
• !md5：排除使用md5哈希算法的加密套件，因为md5被认为不再安全。

4. ssl_prefer_server_ciphers on;

作用：启用服务器端优先级。当这个选项被激活时，nginx将使用其配置文件中定义的加密套件顺序，而不是依赖于客户端提供的顺序。

参数解释：

• on：开启服务器端优先级。推荐启用此选项以确保使用更安全的加密套件。

5. ssl_certificate /path/to/your/youyuming.cn_bundle.pem;

作用：指定服务器证书的位置。这是用来证明服务器身份的数字证书。

参数解释：

• /path/to/your/youyuming.cn_bundle.pem：证书文件的路径。应替换为实际的证书文件路径。

6. ssl_certificate_key /path/to/your/youyuming.cn.key;

作用：指定私钥文件的位置。私钥是与证书配对的，用于解密通过ssl/tls加密的通信。

参数解释：

• /path/to/your/youyuming.cn.key：私钥文件的路径。同样地，应替换为实际的私钥文件路径。

nginx配置完后可验证下配置语法是否正确 nginx -t, 没啥问题的话再次访问网站就可看到一把小锁.

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持代码网。