大家好， 今天我要跟大家分享一个超级实用的技术知识，就是如何在Nginx服务器上部署SSL证书，让你的网站变得超级平安。说实话， 这个事情其实不难，但是很多新手朋友可能会觉得有点复杂，所以我就来给大家详细讲解一下保证你看完就会。

为什么需要SSL证书？

正宗。 先说说我们得明白什么是SSL证书。简单SSL证书就像是网站的身份证，用来证明你的网站是正规军，不是骗子网站。有了它， 用户访问你的网站的时候，浏览器地址栏会出现一个小锁标志，表示这个网站是平安的，数据传输是加密的。

现在的互联网环境这么复杂， 没有SSL证书的网站就像是没有穿衣服的人，各种黑客攻击、数据窃取都可能发生。而且，搜索引擎比如百度、谷歌也喜欢有SSL证书的网站，会给更高的排名。所以部署SSL证书真的是迫在眉睫的事情。

至于吗？ 但是很多朋友可能会说："我不会技术啊，怎么弄这个SSL证书啊？"别担心，今天我就来教大家如何在Nginx上部署SSL证书，保证让你一看就懂。

准备工作

1. 确认Nginx已安装

很棒。 在开始之前，你得确保你的服务器上已经安装了Nginx。如果没有安装，那你就得先去安装一下Nginx。安装Nginx的方法有很多， 可以用yum install nginx，也可以用apt-get install nginx，具体看你用的是啥系统。如果你用的是Windows系统，那就更简单了直接去官网下载个安装包，双击安装就行。

2. 申请SSL证书

证书怎么来呢？有几种方法。你可以去付费购买，也可以申请免费的。免费的SSL证书有很多选择， 比如Let's Encrypt，它提供免费的SSL证书，而且自动更新，非常方便。申请证书的过程也不复杂，按照提示操作就行。

绝绝子... 申请完成后你会得到几个文件，一般是.pem和.key文件。这些文件就是你的SSL证书和私钥， 一定要保管好，特别是私钥文件，绝对不能泄露出去，不然你的网站就凶险了。

证书文件上传与权限配置

拿到证书文件后下一步就是把这些文件上传到服务器上。怎么上传呢？可以用FTP工具，比如FileZilla，也可以用SCP命令。上传到哪里呢？一般建议放在Nginx的配置目录下 比如/usr/local/nginx/conf/cert/，或者/etc/nginx/ssl/，看你自己的安装路径，归根结底。。

上传完成后还需要设置一下文件权限。私钥文件的权限一定要设置为600，也就是只有文件所有者可以读写。公钥文件的权限可以设置为644， ICU你。 也就是所有者可以读写，其他用户只读。设置权限的命令是chmod，比如：

为什么要设置权限呢？主要原因是如果权限设置不当，别人可能会读取到你的私钥，那就等于把家门钥匙给了小偷，后果不堪设想。

服务器环境准备

在配置SSL证书之前， 要确保你的nginx已经安装了ssl模块，一般情况下自己安装的nginx都是不存在ssl模块的。一般情况下都是不存在ssl模块的， 我深信... 接下来进入到你的解压缩后的nginx目录，注意这里不是nginx安装目录，是解压缩后的目录，我的是在进入目录后输入。

然后检查一下你的nginx是否已经安装了ssl模块。怎么检查呢？可以在命令行输入nginx -V， 如果输出中有--with-http_ssl_module， 往白了说... 说明已经安装了ssl模块，如果没有，那就需要重新编译nginx并添加ssl模块。

如果没有ssl模块，那就需要重新编译nginx。重新编译的方法是先进入nginx的源码目录， 挖野菜。 然后施行以下命令：

这样，你的nginx就有了ssl模块，可以支持HTTPS了，最后说一句。。

配置Nginx

1. 证书与Nginx适配检查

证书格式：Nginx仅支持PEM、 CRT格式，需从帝恩思获取完整文件包，含3类核心文件：

• 公钥文件：用于浏览器验证身份；
• 私钥文件：需严格保密，泄露会导致平安风险；
• 中间证书：部分服务商合并至公钥文件，缺失会导致旧浏览器不信任。

中间证书缺失：旧版IE浏览器提示"证书不受信任"，需联系服务商补充.ca-bundle文件，无语了...。

2. 编写HTTPS站点配置

编辑Nginx站点配置文件， 粘贴以下配置并替换域名与文件路径：

这里有几个地方需要注意：

• listen 443 ssl：表示监听443端口，并启用SSL。
• server_name：替换成你自己的域名。
• ssl_certificate：指向你的证书文件路径。
• ssl_certificate_key：指向你的私钥文件路径。

路径错误：配置文件中证书路径与实际路径不一致，需用pwd命令确认绝对路径，礼貌吗？。

权限过高：私钥文件权限若为755，Nginx会拒绝启动，需重新设置为600，别犹豫...。

3. 配置HTTP强制跳转HTTPS

佛系。 为了让所有HTTP请求都自动跳转到HTTPS， 你可以添加以下配置：

我不敢苟同... 这样，当用户访问http://your_domain.com时会自动跳转到https://your_domain.com。

瞎扯。 添加80端口配置， 将所有HTTP请求重定向至HTTPS，提升平安性与SEO权重：

等着瞧。 return 301 https://$host$request_uri; #永久重定向更利于SEO

验证配置并重启Nginx

PUA。 配置完成后先检查一下配置文件有没有语法错误。怎么检查呢？可以在命令行输入：

如果显示"test is successful"，说明配置没有问题。如果有错误，会提示你具体是哪里出错了根据错误信息修改配置即可，别犹豫...。

检查配置语法正确性：nginx-t， 显示"test is successful"说明无错误；，我深信...

检查无误后就可以重启Nginx了。重启Nginx的方法因系统而异：，实锤。

• CentOS/RHEL系统：systemctl restart nginx
• Ubuntu/Debian系统：service nginx restart

重启Nginx生效：

CentOS/RHEL系统：systemctl restart nginx

何苦呢？ Ubuntu/Debian系统：service nginx restart

常见问题解决

1. 端口未开放

443端口未放行会导致HTTPS无法访问，施行firewall-cmd --permanent --add-port=443/tcp开放端口。

确保服务器开放443端口， 防火墙需放行该端口；

登录服务器，创建证书存储目录，路径可自定义；通过FTP工具或命令行上传证书文件至该目录；设置文件权限chmod 600 /etc/nginx/ssl/*，仅所有者可读写，防止私钥泄露，不忍直视。。

2. 证书不受信任

如果浏览器提示"证书不受信任"，可能是以下原因：

• 证书不是由受信任的CA签发的；
• 证书过期了；
• 域名与证书不匹配。

我是深有体会。 解决方法：重新申请一个有效的证书，或者联系证书提供商解决。

3. HTTPS无法访问

如果HTTPS无法访问，可能是以下原因：

• 443端口被占用；
• 防火墙阻止了443端口；
• 配置文件有错误。

解决方法：检查端口占用情况，开放防火墙端口，检查配置文件。

部署成功验证

配置完成后就可以验证一下SSL证书是否部署成功了。怎么验证呢？很简单，用浏览器访问你的网站，如果地址栏出现小锁标志，就说明SSL证书部署成功了，我持保留意见...。

浏览器访问：地址栏显示"小锁"图标即成功。

进阶验证：工具进行检测，优化后可达到A+级。

有了SSL证书，你的网站就会变得更加平安，用户也会更加信任你的网站。而且，搜索引擎也会给有SSL证书的网站更高的排名。 坦白说... 所以部署SSL证书真的是一件非常有价值的事情。

希望这篇文章能帮助到大家，如果你在部署过程中遇到什么问题， 太硬核了。 欢迎留言交流。再说说祝大家网站平安无忧，业务蒸蒸日上！

对了 还有一个提醒，SSL证书一般都有有效期，比如Let's Encrypt的证书只有90天所以记得定期更新证书，不然过期了网站就会变成不平安状态，用户会收到警告。

更新证书的方法也很简单，一般只需要重新施行一次申请证书的命令就行。很多证书提供商都提供了自动更新的功能， 太暖了。 可以设置定时任务自动更新，这样就不用手动操作了。

痛并快乐着。 SSL证书是网站平安的基础，一定要重视起来。希望这篇文章能帮助大家顺利完成SSL证书的部署，让网站变得更加平安可靠。

好了今天的分享就到这里谢谢大家的阅读！