欢迎您访问新疆栾骏商贸有限公司,公司主营电子五金轴承产品批发业务!
全国咨询热线: 400-8878-609
新闻资讯
技术学院Nginx配置HTTPS需确保ssl_certificate和ssl_certificate_key路径正确、权限开放、证书链完整;证书须为PEM格式且用绝对路径;server块中必须同时配置证书、私钥及listen 443 ssl;证书应为域名证书与中间证书拼接的fullchain.pem;HTTP跳转HTTPS需兼容前置代理;证书更新应原子替换并执行nginx -t校验。
直接上结论:Nginx 配置 HTTPS 不是“加个证书就行”,关键在 ssl_certificate 和 ssl_certificate_key 路径是否正确、权限是否放开、证书链是否完整——三者错一个,nginx -t 就会报 SSL_CTX_use_PrivateKey_file("...") failed 或 no suitable certificate found。
Nginx 只接受 PEM 格式的证书和私钥,且必须是明文 ASCII(以 -----BEGIN CERTIFICATE----- 开头)。常见错误包括:
DEK-Info 行),启动时会卡住或报 SSL_CTX_use_PrivateKey_file failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password)
./cert.pem),Nginx 实际工作目录不一定是你想象的目录,一律用绝对路径检查命令示例:
file /etc/nginx/ssl/example.com.crt openssl x509 -in /etc/nginx/ssl/example.com.crt -text -noout | head -5 openssl rsa -in /etc/nginx/ssl/example.com.key -check -noout
只写 ssl_certificate 不写 ssl_certificate_key,或者漏掉 listen 443 ssl,Nginx 会静默忽略 HTTPS 配置,请求仍走 HTTP 端口。
最小可用配置片段:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
# 推荐加上完整证书链(尤其 Let's Encrypt 的 fullchain.pem)
# ssl_certificate /etc/nginx/ssl/fullchain.pem;
location / {
proxy_pass http://backend;
}}
注意:ssl_certificate 必须指向「域名证书 + 中间证书」拼接后的文件(即 fullchain.pem),不能只放域名证书;否则 iOS 和部分安卓设备会校验失败。
HTTP 自动跳转 HTTPS 容易忽略的两个细节
写 return 301 https://$host$request_uri; 很常见,但有两个实际踩坑点:
X-Forwarded-Proto,此时仅靠 listen 80 上的 return 会形成跳转循环$host 可能带端口(如 exampl
e.com:80),导致跳转 URL 错误,应改用 
e.com:80$server_name 或显式写死域名更稳妥的写法(兼容前置代理):
server {
listen 80;
server_name example.com;
if ($http_x_forwarded_proto = 'http') {
return 301 https://$server_name$request_uri;
}
return 301 https://$server_name$request_uri;}
证书热更新无需 reload,但要注意文件替换原子性
Let’s Encrypt 的 certbot renew 默认会覆盖旧文件。如果新证书写入过程中被 Nginx 读到一半,可能触发解析失败甚至 worker crash。安全做法是:
mv 原子替换(先写临时文件,再 mv new.crt cert.crt)cp 直接覆盖,尤其当证书文件较大时nginx -t && nginx -s reload,不要省略 -t
另外,ssl_session_cache 和 ssl_session_timeout 建议保留默认值(如 shared:SSL:10m),盲目调大反而可能耗尽共享内存。