Nginx是什么
Nginx 是一款高性能、轻量级、开源的 Web 服务器与反向代理软件,自 2004 年发布以来,已成为全球高并发网站和云原生架构的核心组件之一。它不依赖线程模型,而是采用事件驱动异步非阻塞 I/O 架构,在万级并发连接下仍保持极低内存占用与毫秒级响应延迟,被广泛用于静态资源服务、API 网关、负载均衡与 TLS 终止等关键场景。
TLS/SSL 在 Nginx 中的核心作用
HTTPS 加密与证书部署
Nginx 本身不生成 SSL/TLS 证书,但作为最主流的 TLS 终止节点,承担着加载 SSL证书、验证证书链完整性、执行 TLS 握手及加解密流量的全部职责。生产环境中,95% 以上的 HTTPS 流量经由 Nginx 完成 SSL 卸载(SSL Offloading),显著降低后端应用(如 Node.js、Java Spring Boot)的 CPU 压力。
证书链信任机制
Nginx 必须显式配置完整证书链(含中间 CA 证书),否则浏览器将因“证书链不完整”报错。例如使用 Sectigo 或锐安信签发的证书时,需合并域名证书 + 中间证书为单个 PEM 文件,或通过 ssl_trusted_certificate 指令单独指定——该细节在 TopSSL 提供的 SSL证书链下载 工具中已预处理完成。
Nginx 的典型 HTTPS 部署结构
| 组件 | 说明 | TopSSL 工程建议 |
|---|---|---|
| 监听端口 | listen 443 ssl http2; 启用 HTTP/2 与 TLS 1.2+ 协议 | 禁用 TLS 1.0/1.1;强制启用 OCSP Stapling(见 Nginx 开启 OCSP Stapling 极致优化指南) |
| 证书路径 | ssl_certificate 与 ssl_certificate_key 指向 PEM 格式文件 | 私钥必须为 RSA 或 ECDSA 格式;国密 SM2 证书需搭配支持国密的 OpenSSL 分支(参考 国密SM2证书Nginx安装指南) |
| 加密套件 | ssl_ciphers 控制协商算法优先级 | 推荐使用 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;避免弱算法(如 RC4、SHA1) |
真实运维经验:Nginx 与证书生命周期管理
在金融类客户集群中,我们曾遇到 Nginx 节点因未同步更新 Let's Encrypt 证书导致部分请求返回 ERR_SSL_VERSION_OR_CIPHER_MISMATCH。根本原因是证书自动续期脚本仅更新主节点,未触发 systemctl reload nginx 全局重载。解决方案是:将 免费SSL证书 的 renew-hook 配置为分发脚本 + Ansible 批量 reload,确保所有边缘节点证书状态一致。该实践已沉淀为 续订SSL证书以及如何更新通配符ssl证书 文档中的标准流程。
常见问题
Q:Nginx 安装 SSL 证书后为什么浏览器仍显示“不安全”?
A:常见原因包括证书链缺失、域名不匹配、HSTS 强制跳转未配置 HTTPS、或服务器时间偏差超 5 分钟。建议使用 SSL证书检查工具 一键诊断。
Q:能否用一张通配符SSL证书保护多个子域名并部署在不同 Nginx 实例上?
A:可以。通配符证书(如 *.example.com)授权所有一级子域名,且私钥可复制部署至任意数量服务器——但需注意私钥泄露风险,建议配合 HSM 或密钥轮换策略。
Q:Nginx 支持国密 SSL 证书吗?
A:原生 Nginx 不支持 SM2/SM3/SM4,需编译国密增强版 OpenSSL(如 BabaSSL 或 GMSSL)并重新构建。华测、沃通等厂商提供预编译包,详情见 【国密SSL证书安装手册】。
京公网安备11010502031690号
网站经营企业工商营业执照
