Debian 12.0 上为 Nginx 配置 SSL/TLS 证书

最新推荐文章于 2025-02-19 22:44:33 发布
最新推荐文章于 2025-02-19 22:44:33 发布
阅读量743 收藏 4
点赞数 5
分类专栏: nginx ssl 文章标签: debian nginx ssl
版权来自:maosource.com
本文链接:https://blog.youkuaiyun.com/qq_43329216/article/details/144679993
版权

在 Debian 12.0 上为 Nginx 配置 SSL/TLS 证书,可以使用免费的 Let’s Encrypt 证书,通过工具 Certbot 自动完成证书获取和配置。以下是具体步骤:

  1. 安装 Certbot 和 Nginx 插件
    Certbot 是一个工具,可以从 Let’s Encrypt 获取证书并自动配置到 Nginx。
    运行以下命令安装 Certbot 和其 Nginx 插件:
sudo apt update
sudo apt install certbot python3-certbot-nginx -y
  1. 确保域名指向服务器

在你的域名注册商控制面板中,将域名的 A 记录 和 CNAME 记录 指向你的服务器 IP 地址。
例如:

类型主机名
A@你的服务器 IP 地址

然后等待 DNS 解析生效。可以通过以下命令验证 DNS 解析是否正确:

ping your-domain.com

如果返回了你的服务器 IP,说明解析已经生效。

  1. 获取 SSL/TLS 证书

Certbot 会自动为你的域名获取 Let’s Encrypt 的免费证书并配置 Nginx。

执行以下命令:

sudo certbot --nginx -d your-domain.com -d www.your-domain.com

•	将 your-domain.com 替换为你的实际域名。
•	如果你有多个域名,可以用 -d 参数添加更多域名。

交互过程

Certbot 会提示你完成以下操作:
1. 输入邮箱地址,用于接收证书过期提醒。
2. 同意 Let’s Encrypt 服务条款。
3. 选择是否强制将 HTTP 流量重定向到 HTTPS(建议选择 2 强制重定向)。

Certbot 完成后,会看到如下提示:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/your-domain.com/fullchain.pem
Key is saved at: /etc/letsencrypt/live/your-domain.com/privkey.pem

这表示证书已经成功获取,并自动配置到了 Nginx。

  1. 检查 Nginx 配置

Certbot 会自动修改 Nginx 的站点配置文件,例如 /etc/nginx/sites-available/your-domain.com,并添加如下内容:

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name your-domain.com www.your-domain.com;

    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    root /var/www/your-domain.com;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

server {
    listen 80;
    listen [::]:80;
    server_name your-domain.com www.your-domain.com;

    return 301 https://$host$request_uri;
}
  1. 测试和重新加载 Nginx

测试 Nginx 配置是否正确:

sudo nginx -t

如果没有错误,重新加载 Nginx:

sudo systemctl reload nginx
  1. 验证 HTTPS 配置

在浏览器中访问 https://your-domain.com 和 https://www.your-domain.com,确认网站使用 HTTPS 并显示有效的锁标志。

你也可以通过以下命令验证证书:

openssl s_client -connect your-domain.com:443 -servername your-domain.com
  1. 自动续期证书

Let’s Encrypt 的证书有效期为 90 天,Certbot 会自动安排续期。

可以手动测试续期命令,确保没有问题:

sudo certbot renew --dry-run

如果没有错误,说明自动续期功能已配置好。

  1. 可选优化(提高安全性)

你可以在 Nginx 配置中添加一些额外设置来提高安全性:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

# 禁用不安全的协议
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection "1; mode=block";

保存后,重新加载 Nginx:

sudo systemctl reload nginx

总结

1.	安装 Certbot 和插件。
2.	配置域名 DNS 解析。
3.	使用 Certbot 获取和配置证书:certbot --nginx -d your-domain.com -d www.your-domain.com
4.	测试配置并重新加载 Nginx。
5.	验证 HTTPS 是否正常工作。
6.	确保自动续期功能正常:certbot renew --dry-run。

这样,你的 Nginx 网站就成功绑定了 HTTPS 证书,并且会自动续期,保持安全!

Debian系统中Apache2.4安装SSL证书
刘俊的博客
07-05 5660
Debian中的Apache2安装SSL证书(赛门铁克)实现网站HTTPS访问安装说明:本人刚接触Linux不久,由于公司网站需要https安全访问,配置SSL证书证书来源于阿里云,因为域名实在阿里云上绑定的安装步骤: 获取证书CA: 阿里云申请SSL证书,绑定网站域名,其中申请和绑定步骤详情请见:阿里云证书申请及绑定流程 下载下来的证书压缩包中如下: 解压放到系统中任意文件
Debian系统下部署百度智能云ssl证书
Strange_程序员的的博客
02-25 412
第一步:购买SSL证书 百度智能云ssl证书申请链接这里我所用的是免费的 TrustAsia 域名型DV 单域名版 第二步:证书申请 申请过程中需要一些时间审核。 第三步:证书下载 第四步:复制证书到服务器 (1)在apache2目录下新建一个cert文件夹,把证书解压包复制到该路径下 (2)解压 第五步:配置文件 打开apache2/sites-available/default-ssl.c...
使用 Certbot 自动获取和更新 Let‘s Encrypt SSL 证书
李赛赛的专栏
02-19 2551
🔎Certbot是一个由 EFF(电子前沿基金会)开发的自动化工具,用于获取和部署证书。它支持多种操作系统和Web服务器(如ApacheNginx等),并且能够自动配置服务器以使用SSL证书Certbot是一个强大且易于使用的工具,能够帮助用户轻松获取和更新证书。通过本文的介绍,你应该已经掌握了如何安装Certbot、获取SSL证书配置Web服务器以及设置自动更新。希望本文能帮助你更好地保护你的网站数据传输安全。如果你有任何问题或建议,欢迎在评论区留言讨论!Certbot 官方文档。
debian 10 & nginx安装SSL证书
honglonghr的博客
12-16 1204
Requesting a certificate for enbool.com and www.enbool.com (这里直接enter是都使用,按需选择)因用的是宝塔安装的nginx。所以宝塔的nginx.conf目录在/www/server/nginx/conf/下面。所以root进入后首先创建链接。6.sudo certbotnginx(前面的一定要关联)以此网站www.enbool.com为例。
debian安装 nginx https ssl模块,附带redis安装
Hasax1019的博客
01-09 832
下载nginx后解压,进入解压后的根目录 cd nginx-x.x.x。解压后进入redis根目录执行以下命令进行安装。浏览器访问代表安装成功。
【安全】LNMP环境搭建&&生成Nginxssl证书
故余虽愚,卒获有所闻
02-08 747
【从日志来看第一次进入mysql密码是空的,所以直接进去就行】①随便创建一个放证书的目录然后进入创建证书。修改nginx.conf的配置文件。Ⅳ、Nginxssl证书配置。⑤在nginx文件中解析php。然后生成证书文件,填写信息。Ⅰ、nginx环境配置。Ⅱ、mysql环境配置。①安装&升级epel源。③安装php常见组件。
Debian etch 生成SSL证书的方式变了
httpnet的专栏
04-22 2239
在Debain etch下配置Apache2 的SSL已经不能再用apache2-ssl-certificate生成证书文件了etch 提供了一个新的方法,似乎是抛弃了原来给予字符界面的apache2-ssl-certificate创建方式,新的/usr/sbin/make-ssl-cert命令是一个对话框配置工具,使用上更方便,人性化。/usr/sbin/make-ssl-cert 使用/u
Certbot Debian 项目使用教程
gitblog_00971的博客
10-10 579
Certbot Debian 项目使用教程 certbot-debian Debian packaging of certbot 项目地址: https://gitcode.com/gh_mirrors/ce/certbot-de...
使用 certbot 申请泛域名https证书
weixin_30455023的博客
02-23 523
使用 certbot 申请泛域名https证书 Intro Certbot 是一个基于 Let's Encrypt 的自动化申请证书的工具,支持的系统和web server也很多,详见 Certbot 官网 Certbot 有一些 dns 插件可以自动化的不需要手动设置 dns 等方式来验证域名的所属,但是基本是一些国外的大型 DNS 提供商的,针对国内的话通过DNS验证的话还是需要手动验证DNS...
Certbot免费证书生成
weixin_42526326的博客
07-20 1139
Certbot 是一个由 Let’s Encrypt 项目提供的免费、开源的证书颁发工具,用于自动获取和配置 SSL/TLS 证书。请注意,上述步骤提供了 Certbot 生成免费证书的基本流程,并假设您已经安装并配置了适当的 Web 服务器。Let’s Encrypt 的证书有效期为 90 天,您需要定期更新证书以保持其有效性。对于更详细的资料和指南,建议查阅 Certbot 官方文档(https://certbot.eff.org/docs/)。您可以将该命令添加到定期执行的脚本中以进行自动更新。
certbot-debian:Debiancertbot包装
03-21
Certbot是EFF加密整个Internet的工作的一部分。 Web上的安全通信依赖于HTTPS,HTTPS需要使用数字证书,该数字证书允许浏览器验证Web服务器的身份(例如,这真的是google.com吗?)。 Web服务器从称为证书颁发机构(CA)的受信任第三方获取证书Certbot是一个易于使用的客户端,可以从Let's Encrypt(由EFF,Mozilla和其他公司发起的开放式证书颁发机构)中获取证书,并将其部署到Web服务器。 任何在设置安全网站上遇到麻烦的人都知道获得和维护证书很麻烦。 Certbot和Let's Encrypt可以自动消除麻烦,并让您使用简单的命令打开和管理HTTPS。免费使用Certbot和Let's Encrypt,因此无需安排付款。 使用Certbot的方式取决于Web服务器的配置。最好的入门方法是使用我们的。它根据您的配置设置生成说明。在大多
如何在 Debian 8 上为 Apache 创建 SSL 证书
rubys007的博客
05-11 1201
本教程将指导您设置和配置使用 SSL 证书保护的 Apache 服务器。在教程结束时,您将拥有一个可以通过 HTTPS 访问的服务器。SSL 基于将大整数解析为其同样大的质因数的数学难题。利用这一点,我们可以使用私钥-公钥对加密信息。证书颁发机构可以颁发验证此类安全连接真实性的 SSL 证书,同时,也可以在没有第三方支持的情况下生成自签名证书。在本教程中,我们将生成一个自签名证书,进行必要的配置,并测试结果。自签名证书非常适合测试,但会导致用户在浏览器中出现错误,因此不建议用于生产环境。
nginx 的 HTTPS 安全配置TLS 1.3 踩坑
五侠的博客
08-10 8853
nginx 的 HTTPS 安全配置TLS 1.3 踩坑防止默认配置导致暴漏域名生成证书配置默认网站ssl_reject_handshake 指令TLS安全配置TLS 1.3 使用 防止默认配置导致暴漏域名 通过IP扫描,然后浏览器HTTPS访问会在证书里暴漏网站域名。 或者通过访问已知的,未配置HTTPS证书的域名,会暴漏有证书的第一个域名 有两种方式,一种是生成一个证书配置一个default_server。 一种是通过nginx 1.19.4 以后的ssl指令配置default_server。 生成
linux apache certbot,在Debian 10服务器上加密保护Apache(配置Let's Encrypt SSL证书
weixin_42411003的博客
05-14 472
本文介绍在Debian 10操作系统上加密来保护Apache服务器,即配置及更新免费的Let's Encrypt SSL证书,同时配置Apache以使用SSL证书并启用HTTP/2,我们可以从安装Certbot开始。先决条件在继续操作之前,请确保满足以下先决条件:1、以root或具有sudo特权的用户身份登录。2、您要获取SSL证书的域必须指向您的公共服务器IP,我们将使用example.com,...
Debian12安装保姆级教程
热门推荐
weixin_44200186的博客
07-27 4万+
本文使用:Guided-use entire disk and set up LVM。本文单独设置home分区,好处是重装系统home分区可以不被格式化。选择磁盘空间分区划分。
Debian 12环境里部署nginx步骤记录
yeyuningzi的博客
11-07 2149
Debian 12安装nginx 过程记录 及问题解决办法
使用certbot生成及自动更新证书
2403_88969259的博客
12-11 1523
定期检查NginxCertbot的日志,以确保证书续签正常运行。如果发现问题,可以手动更新证书或调整自动续签脚本。配置命令如下,将域名改成你自己的域名,certbot支持一个证书同时支持根域名和泛域名。不同的域名提供商有不同的配置参数,以下以腾讯云DNSPod为例。编辑cron配置:crontab -e。至此,证书生成及自动更新就配置完成了。
Linux升级openssl版本、安装nginx配置https证书支持TLSv1.3
weixin_43020107的博客
03-24 2304
【代码】Linux升级openssl版本、安装nginx配置https证书支持TLSv1.3。
nginx国际证书代理
最新发布
04-02
### 配置 Nginx 作为 SSL/TLS 国际证书代理 为了使 Nginx 成为 SSL/TLS 的国际证书代理,需要按照以下方式进行配置。这涉及获取合适的 SSL/TLS 证书以及正确设置 Nginx 来处理 HTTPS 请求。 #### 获取 SSL/TLS 证书 SSL/TLS 证书可以通过两种主要途径获得:Let’s Encrypt 提供的免费证书或商业认证机构(CA)签发的付费证书。如果选择使用 Let’s Encrypt,则需安装自动化工具 Certbot 并运行相应命令来获取和续订证书[^2]。 对于商业证书,通常会收到两个文件: - **证书文件** (`.crt` 或 `.pem`)。 - **私钥文件** (`.key`)。 这些文件将用于后续的 Nginx 配置中。 #### 安装 Certbot 工具 在基于 Debian 的系统上,例如 Debian 12.0,可通过以下命令安装 Certbot 及其 Nginx 插件: ```bash sudo apt update sudo apt install certbot python3-certbot-nginx -y ``` 此插件允许 Certbot 自动检测现有的 Nginx 配置并修改它们以启用 SSL/TLS[^3]。 #### 配置 Nginx 使用 SSL/TLS 一旦获得了所需的 SSL/TLS 证书,就需要将其集成到 Nginx 中。下面是一个典型的 Nginx 配置示例,展示如何加载证书并将服务器切换至 HTTPS 模式: ```nginx server { listen 80; server_name example.com www.example.com; # 将 HTTP 流量重定向到 HTTPS return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name example.com www.example.com; # 路径应替换为您实际存储证书的位置 ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; # 增强安全性选项 ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_dhparam /etc/nginx/dhparams.pem; location / { proxy_pass http://backend-server; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 上述配置实现了以下几个功能: - 听取标准 HTTPS 端口 `443` 并启用了 SSL 功能[^1]。 - 设置了 `ssl_certificate` 和 `ssl_certificate_key` 参数指向您的证书及其对应的密钥位置。 - 添加了一些增强安全性的协议支持和加密套件设定。 - 如果 Nginx 正充当反向代理角色,则定义了一个 `location` 块,其中指定了后端服务地址并通过适当头信息转发请求。 #### 更新 Diffie-Hellman 参数 为了进一步提高连接的安全性,建议生成自定义 DH 参数文件: ```bash openssl dhparam -out /etc/nginx/dhparams.pem 2048 ``` 然后,在 Nginx 配置中指定该参数路径,如上面所示。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值