一、第一步:处理证书文件(重命名 + 安全存放 + 权限设置)
ertificate.txt certificate_chain.txt private_key.txt
先将 AWS 导出的 3 个
txt文件标准化命名、移动到服务器安全目录,并设置最小权限(核心:私钥仅 root 可读)。1.1 登录服务器,创建证书目录(推荐标准路径)
# 创建证书存储目录(Linux通用)
sudo mkdir -p /etc/nginx/ssl # 专门存放Nginx证书,也可用/etc/ssl/certs1.3 重命名 + 设置安全权限(关键)
# 登录服务器,进入证书目录
cd /etc/nginx/ssl/# 重命名为Nginx易识别的格式(可选但推荐)
sudo mv certificate.txt domain.crt # 主证书
sudo mv certificate_chain.txt chain.crt # 证书链
sudo mv private_key.txt domain.key # 私钥# 检查私钥是否加密(如果执行后提示输入口令,说明私钥加密,需先解密)
openssl rsa -in domain.key -check# 【若私钥加密】解密(输入AWS导出时设置的口令)
openssl rsa -in domain.key -out domain-decrypted.key
sudo rm -f domain.key && sudo mv domain-decrypted.key domain.key # 替换为解密后的私钥# 设置严格权限(必须!否则Nginx启动失败)
sudo chmod 600 /etc/nginx/ssl/* # 所有证书文件仅root可读
sudo chown root:root /etc/nginx/ssl/* # 归属root用户
二、第二步:配置 Nginx 的 HTTPS(核心)
2.1 找到 Nginx 的站点配置文件
- Debian/Ubuntu 系统:配置文件路径
/etc/nginx/sites-available/你的域名.conf(若无则新建)
2.2 编写完整的 Nginx HTTPS 配置(直接复制修改)
# 新建/编辑配置文件(替换为你的域名)
sudo vim /etc/nginx/conf.d/your-domain.conf粘贴以下配置(替换
your-domain.com为实际域名,证书路径确认无误):nginx
# 1. HTTP自动重定向到HTTPS(可选但推荐)
server {listen 80;server_name your-domain.com www.your-domain.com; # 替换为你的域名return 301 https://$host$request_uri; # 强制跳转到HTTPS
}# 2. HTTPS核心配置
server {listen 443 ssl http2; # 启用SSL+HTTP2(http2可选,提升性能)server_name your-domain.com www.your-domain.com; # 替换为你的域名# 证书文件路径(对应第一步的文件位置)ssl_certificate /etc/nginx/ssl/domain.crt; # 主证书ssl_certificate_key /etc/nginx/ssl/domain.key; # 解密后的私钥ssl_trusted_certificate /etc/nginx/ssl/chain.crt; # 证书链(增强信任)# 【安全配置】禁用弱协议/加密套件(必配,避免浏览器提示不安全)ssl_protocols TLSv1.2 TLSv1.3; # 仅启用TLS1.2/1.3,禁用老旧SSL/TLSssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphers on; # 优先使用服务器加密套件ssl_session_timeout 10m; # 会话超时时间# 【可选】HSTS配置(强制浏览器长期使用HTTPS,增强安全)add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;# 网站根目录(替换为你的实际网站文件路径,比如/var/www/html)root /var/www/your-domain;index index.html index.php; # 按需调整# 常规location配置(保持原有即可)location / {try_files $uri $uri/ =404;}
}
三、第三步:验证配置 + 重启 Nginx
# 1. 检查Nginx配置语法(关键!避免配置错误导致服务启动失败)
sudo nginx -t# 若提示:nginx: configuration file /etc/nginx/nginx.conf test is successful → 配置无误
# 若报错:检查证书路径、私钥权限、配置语法(比如分号缺失)# 2. 重启Nginx生效配置
sudo systemctl restart nginx# 3. 确认Nginx运行状态
sudo systemctl status nginx