Nginx 安装 SSL 证书说明
网站安装 SSL 证书,主要是为了让域名支持 HTTPS 访问。对企业官网、外贸站、会员系统、支付页面、API 接口来说,HTTPS 基本已经是必备配置。
如果服务器环境是 Nginx,安装证书前不要急着改配置。先确认网站本身是否能正常访问,再处理 HTTPS。否则原来 HTTP 就打不开,装完证书也很难判断问题出在哪里。如果你使用的是宝塔面板管理网站,可以直接查看《宝塔面板安装 SSL 证书说明》。
安装前先确认网站基础状态
配置 SSL 之前,建议先确认:域名已经解析到当前服务器;网站通过 HTTP 可以正常访问;Nginx 已经正常运行;服务器 443 端口可以开放;证书文件和私钥文件完整;当前配置文件已经备份。
如果服务器前面还有 CDN、高防 IP、反向代理,也要确认访问链路。比如高防 IP 接入后,HTTPS 是在高防节点处理,还是回源到源站处理,不同方案配置方式会不一样。
证书和私钥不能混用
SSL 证书通常会包含证书文件和私钥文件,有些还会包含证书链文件。不同平台下载的文件名不一样,但核心是证书和私钥必须匹配。常见问题是:证书复制不完整;私钥和证书不是同一套;证书链缺失;下载了错误的服务器类型;把 Apache 格式直接套到 Nginx 里。如果私钥丢失,通常不能简单找回,只能重新签发证书。因此申请证书时,要把私钥保存好。
Nginx 配置不要直接照搬
网上有很多 Nginx SSL 配置示例,但不建议原样复制到自己的生产服务器。因为每台服务器的网站目录、PHP 版本、反向代理规则、伪静态、端口、证书路径都可能不同。配置写错后,轻则 HTTPS 打不开,重则 Nginx 启动失败,影响整个网站访问。修改配置前,建议先备份原配置文件。改完后先检测配置是否正确,再重载 Nginx。修改 Nginx 配置前,建议先备份站点配置,可参考《数据备份与恢复建议》。
HTTPS 打不开,先看这几个地方
如果 HTTP 能打开,HTTPS 打不开,优先排查:443 端口是否开放;服务器防火墙是否放行;Nginx 是否监听 443;证书路径是否正确;私钥文件是否匹配;域名是否解析到当前服务器;是否存在 CDN 或高防转发配置影响。如果 443 端口或防火墙规则不确定,可以结合《Linux 服务器基础安全设置》一起检查。
如果浏览器提示证书不可信、域名不匹配或证书过期,要检查证书绑定的域名和有效期。如果页面可以打开,但浏览器仍提示“不安全”,可能是网页里还有 HTTP 图片、JS、CSS 或外部资源,这类问题需要修改网站资源地址,不能只靠重新安装证书解决。
高防、CDN、反向代理场景要单独确认
SellBGP 用户里有不少业务会用到高防服务器、高防 IP、大带宽服务器或海外节点。这里要特别注意:如果域名先接入高防 IP,再回源到源站,证书可能需要在高防侧、源站侧,或两边都配置,具体取决于接入方式。如果使用 CDN,证书配置也可能在 CDN 平台上完成。如果 Nginx 是反向代理,还要确认后端服务协议、端口和转发规则。这类场景不建议只按普通网站教程操作。配置前先确认访问链路,会少走很多弯路。
不熟悉配置时,先别在生产环境硬改
SSL 配置看起来只是几行代码,但如果服务器上有多个网站、多个域名、反向代理或业务接口,改错后可能影响不止一个站点。不熟悉 Nginx 的用户,可以先准备好域名、服务器 IP、证书文件、当前报错截图,再提交工单咨询。技术人员需要知道你的访问链路和当前环境,才能判断应该从哪里配置。