Nginx配置HTTPS需确保ssl_certificate和ssl_certificate_key路径正确、权限开放、证书链完整;证书须为PEM格式且用绝对路径;server块中必须同时配置证书、私钥及listen 443 ssl;证书应为域名证书与中间证书拼接的fullchain.pem;HTTP跳转HTTPS需兼容前置代理;证书更新应原子替换并执行nginx -t校验。
直接上结论:Nginx 配置 HTTPS 不是“加个证书就行”,关键在 ssl_certificate 和 ssl_certificate_key 路径是否正确、权限是否放开、证书链是否完整——三者错一个,nginx -t 就会报 SSL_CTX_use_PrivateKey_file("...") failed 或 no suitable certificate found。
确认证书文件格式和路径是否合法
Nginx 只接受 PEM 格式的证书和私钥,且必须是明文 ASCII(以 -----BEGIN CERTIFICATE----- 开头)。常见错误包括:
- 把 PFX/P12 文件直接丢进配置,Nginx 无法读取
- 私钥被加密(含
DEK-Info行),启动时会卡住或报SSL_CTX_use_PrivateKey_file failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password) - 路径用了相对路径(如
./cert.pem),Nginx 实际工作目录不一定是你想象的目录,一律用绝对路径
检查命令示例:
file /etc/nginx/ssl/example.com.crt openssl x509 -in /etc/nginx/ssl/example.com.crt -text -noout | head -5 openssl rsa -in /etc/nginx/ssl/example.com.key -check -noout
server 块中必须同时声明证书和私钥,并启用 TLS 协议
只写 ssl_certificate 不写 ssl_certificate_key,或者漏掉 listen 443 ssl,Nginx 会静默忽略 HTTPS 配置,请求仍走 HTTP 端口。
最小可用配置片段:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
# 推荐加上完整证书链(尤其 Let's Encrypt 的 fullchain.pem)
# ssl_certificate /etc/nginx/ssl/fullchain.pem;
location / {
proxy_pass http://backend;
}}
注意:ssl_certificate 必须指向「域名证书 + 中间证书」拼接后的文件(即 fullchain.pem),不能只放域名证书;否则 iOS 和部分安卓设备会校验失败。
HTTP 自动跳转 HTTPS 容易忽略的两个细节
写 return 301 https://$host$request_uri; 很常见,但有两个实际踩坑点:
- 如果 Nginx 前面还有一层 CDN 或 LB(如阿里云 SLB、Cloudflare),真实客户端 IP 是
X-Forwarded-Proto,此时仅靠listen 80上的return会形成跳转循环 -
$host可能带端口(如example.com:80),导致跳转 URL 错误,应改用$server_name或显式写死域名
更稳妥的写法(兼容前置代理):
server {
listen 80;
server_name example.com;
if ($http_x_forwarded_proto = 'http') {
return 301 https://$server_name$request_uri;
}
return 301 https://$server_name$request_uri;}
证书热更新无需 reload,但要注意文件替换原子性
Let’s Encrypt 的 certbot renew 默认会覆盖旧文件。如果新证书写入过程中被 Nginx 读到一半,可能触发解析失败甚至 worker crash。安全做法是:
- 用
mv原子替换(先写临时文件,再mv new.crt cert.crt) - 避免用
cp直接覆盖,尤其当证书文件较大时 - 替换后执行
nginx -t && nginx -s reload,不要省略-t
另外,ssl_session_cache 和 ssl_session_timeout 建议保留默认值(如 shared:SSL:10m),盲目调大反而可能耗尽共享内存。
