一、证书文件获取
在阿里云控制台完成SSL证书签发后,登录SSL证书管理控制台,定位到已签发证书,点击「下载」按钮选择Nginx服务器类型。下载的压缩包包含两个关键文件:
- .pem格式的证书文件(通常包含完整证书链)
- .key格式的私钥文件(需妥善保管)
建议通过SFTP或SSH将文件上传至服务器/etc/nginx/cert/目录,保持证书与密钥文件的路径对应关系。
二、Nginx服务配置
编辑Nginx配置文件(通常位于/etc/nginx/nginx.conf),在server模块中添加以下指令:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_protocols TLSv1.2 TLSv1.3;
...
执行nginx -t验证配置语法,随后通过systemctl reload nginx重启服务生效。
三、证书验证与测试
完成部署后需执行以下验证步骤:
- 浏览器访问
https://domain.com检查证书有效性 - 使用
openssl s_client -connect domain.com:443命令验证证书链 - 通过SSL Labs测试工具检测协议安全性评级
四、安全优化建议
建议在Nginx配置中补充以下参数提升安全性:
- 启用HSTS头部:
add_header Strict-Transport-Security "max-age=31536000" - 配置SSL会话缓存:
ssl_session_cache shared:SSL:10m - 禁用弱加密套件:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:...;
通过标准化部署流程,可在15分钟内完成阿里云SSL证书的服务器部署。建议每三个月检查证书有效期,配合阿里云提供的自动续签功能确保服务连续性。
