新增 HTTPS 域名(Certbot + Nginx + Let‘s Encrypt + PM2)

原创 于 2025-11-25 14:42:19 发布 · 209 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #nginx #网络协议

目标:为新域名 xxx.yyy.com 部署 HTTPS,反向代理到 localhost:PORT,支持自动续期,零干扰已有服务

✅ 前提条件

  • 服务器:Ubuntu 20.04/22.04(或其他主流 Linux)

  • 域名:xxx.yyy.com 已解析到服务器公网 IP(可通过 dig +short xxx.yyy.com 验证)

  • 应用:可运行在 localhost:PORT(如 9000),监听 0.0.0.0

  • 已安装:

    sudo apt update
sudo apt install -y nginx certbot
npm install -g pm2  # 或已全局安装

🔒 本流程绝不修改已有 Nginx 配置或证书,仅操作新域名。

🔧 第一阶段:启动应用(PM2 托管)

# 进入项目目录
cd /path/to/your/app

# 示例 1:启动静态站点(如 Storybook)
pm2 start npx --name "xxx-yyy-app" -- serve -s dist -l 9000

# 示例 2:启动 Node.js 服务
pm2 start app.js --name "xxx-yyy-app" -- --port 9000

# 验证本地访问
curl -s http://localhost:9000 | head -n 1
# ✅ 应返回有效内容(非空)

🔐 第二阶段:申请 Let’s Encrypt 证书(安全模式)

步骤 1:创建临时 HTTP 验证站点

DOMAIN="xxx.yyy.com"  # ← 替换为你的域名
sudo tee /etc/nginx/sites-available/$DOMAIN <<EOF
server {
    listen 80;
    server_name $DOMAIN;

    location /.well-known/acme-challenge/ {
        root /var/www/html;
        try_files \$uri =404;
    }

    location / {
        return 403;
    }
}
EOF

步骤 2:启用站点并重载 Nginx

sudo ln -sf /etc/nginx/sites-available/$DOMAIN /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginx

步骤 3:申请证书(不修改 Nginx)

sudo certbot certonly --webroot -w /var/www/html -d $DOMAIN

✅ 成功后证书路径:
/etc/letsencrypt/live/xxx.yyy.com/{fullchain.pem, privkey.pem}

🌐 第三阶段:配置正式 HTTPS(含自动续期 + 无依赖错误)

⚠️ 关键修复:避免 options-ssl-nginx.conf 不存在导致 Nginx 启动失败!

步骤 4:创建正式 Nginx 配置(安全、无外部依赖)

DOMAIN="xxx.yyy.com"
PORT="9000"  # ← 替换为你的应用端口

sudo tee /etc/nginx/sites-available/${DOMAIN}-https <<EOF
# HTTP → HTTPS 重定向
server {
    listen 80;
    server_name $DOMAIN;
    return 301 https://\$host\$request_uri;
}

# HTTPS 主服务
server {
    listen 443 ssl http2;
    server_name $DOMAIN;

    # 🔑 Let's Encrypt 验证路径(用于 certbot renew)
    location ^~ /.well-known/acme-challenge/ {
        root /var/www/html;
        default_type "text/plain";
        try_files \$uri =404;
    }

    # SSL 证书
    ssl_certificate /etc/letsencrypt/live/$DOMAIN/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/$DOMAIN/privkey.pem;

    # ✅ 安全 SSL 配置(内联,无需 options-ssl-nginx.conf)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
    ssl_session_tickets off;
    add_header Strict-Transport-Security "max-age=63072000" always;

    # 反向代理到本地应用
    location / {
        proxy_pass http://localhost:$PORT;
        proxy_http_version 1.1;
        proxy_set_header Upgrade \$http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host \$host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto \$scheme;
        proxy_cache_bypass \$http_upgrade;
    }
}
EOF

✅ 此配置:

  • 不依赖 /etc/letsencrypt/options-ssl-nginx.conf
  • 支持自动续期(通过 HTTPS 路径验证)
  • 安全、现代、兼容性好

步骤 5:切换到正式配置

# 禁用临时站点
sudo rm -f /etc/nginx/sites-enabled/$DOMAIN

# 启用正式 HTTPS 配置
sudo ln -sf /etc/nginx/sites-available/${DOMAIN}-https /etc/nginx/sites-enabled/$DOMAIN

# 测试并重载
sudo nginx -t && sudo systemctl reload nginx

✅ 如果看到 nginx: [emerg] open() "/etc/letsencrypt/options-ssl-nginx.conf" failed,说明你漏掉了内联 SSL 配置 —— 请检查上一步。

✅ 第四阶段:验证服务与自动续期

验证 1:网站可访问

curl -I https://xxx.yyy.com
# 应返回 HTTP/2 200

验证 2:ACME 验证路径可访问(关键!)

echo "ok" | sudo tee /var/www/html/.well-known/acme-challenge/test-ok
curl http://xxx.yyy.com/.well-known/acme-challenge/test-ok    # 应返回 ok
curl https://xxx.yyy.com/.well-known/acme-challenge/test-ok   # 应返回 ok
sudo rm /var/www/html/.well-known/acme-challenge/test-ok

验证 3:模拟证书续期

sudo certbot renew --dry-run
# ✅ 必须成功!

🔄 第五阶段:设置开机自启(可选)

pm2 startup
# 按提示执行输出的命令(通常是 sudo env PATH=... pm2 startup ...)

pm2 save  # 保存当前 PM2 进程

📁 最终结构(干净隔离)

/etc/nginx/sites-available/
├── xxx.yyy.com          ← 临时(已删除)
└── xxx.yyy.com-https    ← 正式配置(独立、安全)

/etc/nginx/sites-enabled/
└── xxx.yyy.com → 指向 -https 文件

/var/www/html/.well-known/acme-challenge/  ← 所有域名共用,Certbot 自动写入

完全不影响其他域名(如 staging-ui-components.walks.org 等)

🛡️ 常见问题与解决方案

问题原因解决
options-ssl-nginx.conf not found使用了include但文件不存在改用内联 SSL 配置(本手册已包含)
404on/.well-known/acme-challenge/HTTPS server 未暴露该路径必须在 HTTPS server 中添加**location ^~ /.well-known/...**
502 Bad Gateway应用未运行或端口错误检查curl http://localhost:PORT
certbot renew失败验证路径不可公网访问确保 80/443 端口开放,Nginx 配置正确

📝 使用模板(部署新项目时复制)

只需替换三处:

DOMAIN="your-domain.com"     # ← 替换
PORT="9000"                  # ← 替换
# 启动命令根据项目调整
pm2 start npx --name "your-app" -- serve -s dist -l $PORT

然后按手册执行即可。

✅ 总结

本手册确保:

  • 零干扰已有服务
  • HTTPS 正常访问
  • 证书自动续期成功
  • 避免 options-ssl-nginx.conf 不存在的坑
  • 配置清晰、可审计、可版本控制

📌 建议:将本手册保存为 docs/deploy-https-domain.md,作为团队标准流程。

如需我为你生成 具体域名 + 端口的一键部署脚本,请提供:

  • 域名(如 api.fulingweilai.com
  • 端口(如 3000
  • 启动命令(如 npm start

祝你部署顺利,系统稳定运行!🚀

污斑兔
关注
手把手教你搭建基于 Let’s Encrypt 的免费 HTTPS 证书
wolfcode_cn的博客
06-20 1740
作者:刘刚,叩丁狼高级讲师。原创文章,转载请注明出处。Let’s Encrypt 是国外一个公共的免费 SSL 项目,该项目是为了普及 HTTPS 而发起的,目前已经被 Mozilla、Google、Microsoft 和 Apple 等主流浏览器支持,对 HTTPS 技术的普及有着巨大贡献。随着 HTTPS 的普及,Let’s Encrypt 已经成为全球最受欢迎的免费 SSL 证书签发机构。注...
对于部署 React 应用,我推荐以下方案(20241127使用方案1Nginx+PM2):
专注技术分享
11-29 436
如果团队已经在使用容器技术,那么方案2(Docker)也是很好的选择。完成这些步骤后,服务器就准备好接收部署了。
linux+svn+https+maven+tomcat+nginx
qq_53993206的博客
10-26 764
linux,centos7.8 :svn+https+maven+tomcat+jenkins
Let‘sEncrypt快速颁发及自动续签泛域名证书实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 6651
[TOC] 0x00 前言简述 描述: Let's Encrypt 是免费、开放和自动化的证书颁发机构由Linux基金会(Linux Foundation)进行日常管理维护,它为1.8亿个网站提供TLS证书的非盈利性证书颁发机构, 通过它我们可以免费申请网站证书,并您的网站上启用 HTTPS (SSL/TLS) 提供支持。 前置需求: 域名所有者 : Let’s Encrypt 是一个证书颁发机构(CA), 要从 Let’s Encrypt 获取您网站域名的证书,您必须证明您对域名的实际控制
Let's Encrypt域名证书申请
小云的博客
04-15 2965
域名域名证书又名通配符证书是SSL证书中的其中一种形式,一般会以通配符的形式(如:*.domain.com)来指定证书所要保护的域名。OV证书和DV证书都会有通配符的域名形式提供,而EV证书一般没有通配符的证书形式。1.配置灵活方便由于采用了通配符的形式对域名进行配置,那么对于拥有多个二级域名的网站是一件非常便利的事情。只要申请一张通配符证书,就能用于所有的二级域名...
使用Nginx结合CertBot配置HTTPS协议
weixin_34418883的博客
02-11 269
HTTPSLet’s EncryptCertbot 的关系 其实 HTTPS 只是 HTTP 的一个拓展,是在 HTTP 的基础上利用 SSL/TLS 来加密数据包的。服务器会给客户端发送一个 Server certificates(服务证书),这个里面包含有服务器的一些信息,如域名、公司信息、序列号和签名信息组成等,这个证书可以个人生成,也可以...
免费SSL证书 - Let's Encrypt申请(WINDOWS + IIS版)
weixin_30656145的博客
04-24 802
Let’s Encrypt 项目是由互联网安全研究小组ISRG,Internet Security Research Group主导并开发的一个新型数字证书认证机构CA,Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中,互联网安全研究小组拟定了 ACME 协议草案...
AI取名大师 | PM2 部署 Bun.js 应用及配置 Let‘s Encrypt 免费 HTTPS 证书
集成显卡的开源主页 https://github.com/0604hx
11-12 587
借助豆包通义千问DeepSeek等 AI 大模型,为您的宝宝、宠物、店铺、网名、笔名、项目、产品、服务、文章等取一个专业、有意义的名字😄。开源地址:👉👈、👉👈。
windows申请免费SSL证书-Let's Encrypt
mengzhengjie的专栏
05-13 1571
https://blog.youkuaiyun.com/i348018533/article/details/50788703 Let’s Encrypt 项目是由互联网安全研究小组ISRG,Internet Security Research Group主导并开发的一个新型数字证书认证机构CA,Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的...
HoRain云--Nginx+PHP-FPM高效配置全攻略
sinat_57153473的博客
07-25 856
本文详细介绍了Nginx代理PHP请求的完整配置流程,重点讲解了通过FastCGI协议与PHP-FPM协作的实现方式。内容涵盖五大核心模块:1)基础配置步骤;2)Unix Socket与TCP两种连接模式的选择;3)安全加固措施;4)性能优化策略;5)常见问题排查方法。文章特别强调了Unix Socket模式的高性能优势,提供了进程池调优、缓存配置等实用技巧,并给出安全加固建议如限制PHP执行目录、禁用危险函数等。配置完成后可通过测试文件验证PHP支持情况,适合需要部署高性能PHP应用的开发运维人员参考。
ubuntu24 服务器从零开始搭建 nginx https node pm2 postgres github redis conda
刘泽美的博客
06-15 956
ubuntu服务器从零开始搭建1. nginx 安装及配置1.1. 安装1.2. 配置1.2.1 字体跨域1.3. 配置 Let's encrypt2. node1. node环境安装2. 主要包安装3. Postgres sql 数据库安装4. GitHub 配置 1. nginx 安装及配置 1.1. 安装 sudo apt-get update sudo apt-get install nginx 1.2. 配置 cd /etc/nginx/sites-enabled/xxxx upstream te
pm2 运行nuxt3打包的项目后,nginx怎么添加域名和配置https
10-26
当你使用`pm2`管理和部署了基于Nuxt.js v3构建的项目后,要在Nginx上设置域名并启用HTTPS,需要按照以下步骤进行: 1. **配置Nginx服务器**: - 首先,你需要在Nginx的配置文件(通常位于 `/etc/nginx/sites-...
[root@yfw ~]# cd /etc/nginx/conf.d [root@yfw conf.d]# # 安装 Certbot(以 CentOS/RHEL 为例) [root@yfw conf.d]# sudo yum install certbot python3-certbot-nginx -y Repository mongodb-org is listed more than once in the configuration Last metadata expiration check: 1:03:17 ago on Tue 11 Nov 2025 11:17:45 PM CST. Package certbot-1.22.0-1.el8.noarch is already installed. Dependencies resolved. ========================================================================================================== Package Architecture Version Repository Size ========================================================================================================== Installing: python3-certbot-nginx noarch 1.22.0-1.el8 epel-Everything 85 k Transaction Summary ========================================================================================================== Install 1 Package Total download size: 85 k Installed size: 291 k Downloading Packages: python3-certbot-nginx-1.22.0-1.el8.noarch.rpm 488 kB/s | 85 kB 00:00 ---------------------------------------------------------------------------------------------------------- Total 485 kB/s | 85 kB 00:00 Running transaction check Transaction check succeeded. Running transaction test Transaction test succeeded. Running transaction Preparing : 1/1 Installing : python3-certbot-nginx-1.22.0-1.el8.noarch 1/1 Running scriptlet: python3-certbot-nginx-1.22.0-1.el8.noarch 1/1 Verifying : python3-certbot-nginx-1.22.0-1.el8.noarch 1/1 Installed: python3-certbot-nginx-1.22.0-1.el8.noarch Complete! [root@yfw conf.d]# [root@yfw conf.d]# # 获取证书(第一次运行) [root@yfw conf.d]# sudo certbot certonly --webroot \ > -w /var/www/certbot \ > -d szrengjing.com \ > --email admin@szrengjing.com \ > --agree-tos \ > --non-interactive /var/www/certbot does not exist or is not a directory Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/tmpp85ui1x5/log or re-run Certbot with -v for more details. [root@yfw conf.d]# sudo certbot certonly --webroot \ > -w /var/www/certbot \ > -d szrengjing.com \ > --email admin@szrengjing.com \ > --agree-tos \ > --non-interactive /var/www/certbot does not exist or is not a directory Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/tmprug_4xzn/log or re-run Certbot with -v for more details. [root@yfw conf.d]# 先前以经安装了 [root@yfw ~]# cd /etc/prosody/certs [root@yfw certs]# ls -la total 44 drwx------ 2 prosody prosody 4096 Nov 11 23:40 . drwxr-xr-x 3 www www 4096 Nov 11 23:38 .. -rw-r--r-- 1 prosody prosody 1850 Nov 11 23:45 conference.szrengjing.com.crt -rw------- 1 prosody prosody 3272 Nov 11 23:45 conference.szrengjing.com.key -rw------- 1 prosody prosody 769 Nov 11 23:44 dh-4096.pem -rw-r--r-- 1 prosody prosody 1805 Nov 11 23:45 localhost.crt -rw------- 1 prosody prosody 3272 Nov 11 23:45 localhost.key -rw-r--r-- 1 prosody prosody 1822 Nov 11 23:45 szrengjing.com.crt -rw------- 1 prosody prosody 3272 Nov 11 23:45 szrengjing.com.key -rw-r--r-- 1 prosody prosody 1838 Nov 11 23:45 upload.szrengjing.com.crt -rw------- 1 prosody prosody 3272 Nov 11 23:45 upload.szrengjing.com.key [root@yfw certs]#
11-13
3. 你想为 Nginx 获取 Let's Encrypt 证书,但执行时出现错误: ```bash /var/www/certbot does not exist or is not a directory ``` --- ## 错误原因分析 Certbot 使用 `--webroot` 模式时,要求指定一个真实...
Nginx 实战(一)—— Web 核心概念、HTTP/HTTPS 协议与 Nginx 安装
tzhou64452的博客
11-22 783
Nginx(发音“engine x”)是一款高性能的 Web 服务器,就像“Web 世界的高效调度员”,能同时处理成千上万的用户请求,还不占太多服务器资源。它是由俄罗斯程序员 Igor Sysoev 为当地大型门户网站 Rambler.ru 开发的,2004 年发布第一个公开版本,因为稳定性强、功能丰富、资源消耗低,很快成为全球主流的 Web 服务器。现在百度、新浪、网易、腾讯等国内大厂,还有很多国外知名网站,都在用 Nginx
springBoot发布https服务及调用
2509_94082020的博客
11-23 278
2)CA 签名证书:对于生产环境,应该使用由受信任的证书颁发机构 (CA) 签名的证书。(1)自签名证书:如果你只是用于开发或测试环境,可以生成一个自签名证书。feign接口的地址还是正常配置http或https都支持。你需要提供一些信息,如组织名称等。注意记住密码和别名。这将创建一个有效期为 10 年的自签名证书,并将其存储在。启动服务即可通过https访问了,默认可以设置成false。把证书放在ssl目录下。
使用 Nginx 搭建代理服务器(正向代理 HTTPS 网站)指南
2509_94007428的博客
11-24 474
本文介绍了如何使用 Nginx 搭建正向代理服务器,支持 HTTP 和 HTTPS 网站代理,并提供了详细的代码和配置示例。通过本文的学习,您可以掌握搭建正向代理的基础知识,并能在实际项目中应用。代理服务器是一种非常强大的工具,能够帮助我们隐藏客户端信息、绕过 IP 限制等。合理的配置和优化可以提升代理服务器的性能,从而满足实际应用中的需求。
API接口调试全攻略 Fiddler抓包工具、HTTPS配置与代理设置实战指南
2501_91600889的博客
11-21 514
Fiddler抓包工具全攻略:详解HTTP/HTTPS 抓包原理、代理配置、断点调试与Mock数据技巧,结合实战案例帮助开发者快速定位接口问题。更多请访问 Fiddler 中文网。
Linux网络HTTPS(20)
最新发布
tan180°的博客
11-24 484
想了想,还有 HTTPS 也做一下笔记吧,其实还有I/O 多路复用的那三个API()我也分别想要做一下笔记,但是想了想还是未来再来吧~数字摘要 又称为 数字指纹,指通过 哈希函数 对信息进行运算后生成的 一串定长字符串 ,具有很强的唯一性,数字摘要 并不能加密,而是用于快速判断原始内容是否被修改从无限映射到有限,肯定是有概率碰巧重合的,但是这种概率极低,不影响也不考虑摘要的常见算法:有等。
如何为Apache服务器配置SSL证书并强制跳转HTTPS
2501_90610929的博客
11-24 224
说到证书链,这里插句嘴。之前帮一个教育客户部署时,他们用的是某知名品牌的EV证书,结果内地师生访问时频繁出现“证书验证失败”,换成sslTrus的EV之后,问题直接解决——后来才知道,他们学校网关会拦截境外OCSP请求。对了,他们用的是Racent的香港虚拟主机,标准版三年均价23元/月,送域名和sslTrus的DV证书,性价比确实挺高。测性能的时候发现个有意思的现象,同样是1Mbps带宽的服务器,用sslTrus证书的HTTPS站点,比用某国际大牌证书的,在国内访问时的首次加载时间快了0.8秒。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值