nginx如何配置ssl证书

在配置SSL证书时，Nginx是一个常用的Web服务器，以下是如何在Nginx上配置SSL证书的步骤：

1. 获取SSL证书：您需要从可信的证书颁发机构（CA）购买或获取一个SSL证书，您可以选择使用免费的Let’s Encrypt证书，它提供90天的免费有效期。

2. 安装Certbot：Certbot是一个自动化工具，用于为Nginx配置SSL证书，在Ubuntu和Debian系统上，可以使用以下命令安装Certbot：

sudo apt-get update
   sudo apt-get install software-properties-common
   sudo add-apt-repository ppa:certbot/certbot
   sudo apt-get update
   sudo apt-get install certbot python-certbot-nginx

3. 生成Nginx配置文件：运行以下命令生成Nginx配置文件：

   sudo certbot --nginx -d example.com -d www.example.com

`example.com`和`www.example.com`是您的域名，这将生成一个名为`/etc/letsencrypt/live/example.com/`的目录，其中包含Nginx配置文件。

4. 备份原始Nginx配置文件：在修改Nginx配置文件之前，建议先备份原始文件，使用以下命令备份原始Nginx配置文件：

   sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/default.bak

5. 编辑Nginx配置文件：使用文本编辑器打开生成的Nginx配置文件：

   sudo nano /etc/nginx/sites-available/example.com

将以下内容添加到文件中：

   server {
       listen 80;
       server_name example.com www.example.com;
       return 301 https://$host$request_uri;
   }

   server {
       listen 443 ssl;
       server_name example.com www.example.com;

       ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
       ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_prefer_server_ciphers on;
       ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
       ssl_session_cache shared:SSL:10m;
       ssl_session_timeout 10m;
       ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
       add_header Strict-Transport-Security max-age=15768000;
       add_header X-Frame-Options "SAMEORIGIN";
       add_header X-Content-Type-Options "nosniff";
       add_header X-XSS-Protection "1; mode=block";
       add_header Referrer-Policy "no-referrer";
       location / {
           root /var/www/example.com;
           index index.html index.htm index.php;
           try_files $uri $uri/ =404;
       }
   }

确保将`example.com`替换为您的域名，此配置文件将监听HTTPS请求，并使用Let’s Encrypt提供的SSL证书进行加密通信，它还包含了一些安全头信息和优化设置。