Nginx配置SSL自签名证书的方法

在网络安全领域，SSL（Secure Sockets Layer）证书是用于加密HTTP通信的重要工具，它通过创建一个安全通道来保护数据传输，防止中间人攻击。自签名证书则是由证书持有者自行签署，而不是由受信任的证书颁发机构（CA）签署的。这种证书在测试环境中非常实用，因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 我们需要生成自签名SSL证书。这通常包括以下步骤： 1. **生成RSA密钥**：使用`openssl genrsa`命令创建一个带有密码保护的RSA私钥。例如，`openssl genrsa -des3 -out domain.key 1024`将生成一个1024位的密钥，文件名为`domain.key`。记住设置的密码，后续操作可能需要。 2. **创建无密码密钥副本**：为了简化操作，可以生成一个不需密码的密钥副本，`openssl rsa -in domain.key -out domain_nopass.key`。 3. **生成证书请求（CSR）**：使用`openssl req`命令创建一个证书请求文件，`openssl req -new -key domain.key -out domain.csr`。在这个过程中，你需要提供一些基本信息，如国家、地区、城市、组织名、电子邮件地址以及“Common Name”，这个必须与你的网站域名一致。 4. **自签发证书**：使用`openssl x509`命令，结合之前生成的CSR和私钥，自签发一个有效期为365天的证书，`openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt`。 接下来，我们需要配置Nginx以使用这个自签名证书： 1. **检查Nginx是否支持SSL**：运行`nginx -V`，如果输出中包含`--with-http_ssl_module`，说明Nginx已经编译了SSL支持。如果没有，需要重新编译Nginx并添加`--with-http_ssl_module`选项。 2. **安装或重新安装Nginx**：按照Nginx的官方指南进行编译和安装，例如：`./configure --with-http_ssl_module --with-http_stub_status_module`，然后执行`make && make install`。 3. **编辑Nginx配置文件**：找到Nginx的配置文件，通常是`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`。添加一个新的`server`块，配置如下： ```nginx server { listen 80; listen 443 ssl; # 监听443端口以启用SSL server_name domain.com; ssl_certificate /path/to/your/domain.crt; # 指定SSL证书路径 ssl_certificate_key /path/to/your/domain_nopass.key; # 指定私钥路径 # SSL协议和加密套件优化 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ssl_prefer_server_ciphers on; # SSL会话缓存 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 自动将HTTP重定向至HTTPS if ($server_port = 80) { rewrite ^(.*)$ https://$host$1 permanent; } # 其他配置... } ``` 4. **验证Nginx配置**：保存配置后，运行`nginx -t`检查配置文件是否有语法错误。 5. **重启Nginx服务**：如果没有错误，重启Nginx以应用新的配置，如`sudo service nginx restart`或`sudo systemctl restart nginx`。 完成以上步骤后，Nginx应该已经配置好使用自签名SSL证书。访问你的网站时，浏览器可能会发出警告，因为这不是一个受信任的CA签署的证书。在生产环境中，为了消除这个警告，你应该使用由受信任CA签署的证书。但在开发和测试环境中，自签名证书足以满足需求。