Nginx配置多域名SSL证书的最佳实践是什么？

23小时前 • 安全产品 • 阅读 4

Nginx作为高性能的Web服务器和反向代理服务器，支持多种协议，包括HTTP、HTTPS等。在实际应用中，为了确保网站的安全性和数据传输的保密性，通常会为不同的域名配置SSL证书，以实现HTTPS加密通信。本文将介绍Nginx配置多域名SSL证书的最佳实践。

1. 准备工作

获取SSL证书：首先需要从可信的证书颁发机构（CA）获取SSL证书。对于多域名，可以选择通配符证书或SAN（Subject Alternative Name）证书，这些证书可以覆盖多个子域名或不同顶级域名。如果使用Let’s Encrypt等免费证书服务，则可以通过ACME协议自动获取并更新证书。

安装Nginx：确保已正确安装了最新版本的Nginx，并且启用了必要的模块如ngx_http_ssl_module。此外还需要安装openssl工具来生成私钥和CSR（证书签名请求）。

2. 配置单个站点SSL

在开始处理多个域名之前，应该先熟悉如何为单个网站设置SSL。这一步骤可以帮助理解后续更复杂的多域名配置逻辑。

编辑对应虚拟主机的配置文件，在server块内添加如下内容：

    server {
        listen 443 ssl;
        server_name example.com www.example.com;
        ssl_certificate /etc/nginx/ssl/example_com.crt;
        ssl_certificate_key /etc/nginx/ssl/example_com.key;
        其他配置...
    }

其中，ssl_certificate指向公钥证书路径，而ssl_certificate_key则是私钥的位置。请根据实际情况修改这两个参数。

3. 配置多域名SSL

当涉及到多个域名时，有几种方法可以在Nginx中实现SSL配置：

3.1 使用多个server块

最直接的方法是为每个域名创建独立的server块，每个块都包含各自的listen 443 ssl指令以及对应的证书信息。例如：

    server {
        listen 443 ssl;
        server_name site1.com;
        ssl_certificate /etc/nginx/ssl/site1_com.crt;
        ssl_certificate_key /etc/nginx/ssl/site1_com.key;
        ...
    }
    server {
        listen 443 ssl;
        server_name site2.com;
        ssl_certificate /etc/nginx/ssl/site2_com.crt;
        ssl_certificate_key /etc/nginx/ssl/site2_com.key;
        ...
    }

这种方法的优点在于清晰明了，易于管理和维护；缺点则是可能会导致一些重复配置，尤其是在共享相同设置的情况下。

3.2 使用通配符或SAN证书

如果所有域名为同一组织拥有，并且具有相似结构（如.example.com），那么可以考虑使用通配符证书。这样只需配置一次即可应用于所有符合条件的子域名。

另一种选择是SAN证书，它允许在一个证书中列出多个完全不同的域名。这种方式特别适合于跨多个二级甚至顶级域名的情况。

无论采用哪种类型的证书，配置过程基本相同：只需要将相应的证书文件路径填入到ssl_certificate和ssl_certificate_key字段中即可。

4. 安全优化与性能调优

除了正确配置SSL证书外，还应该关注以下几个方面以提高安全性并改善用户体验：

启用OCSP Stapling：通过让Nginx代替客户端查询OCSP响应，减少握手延迟的同时也提高了隐私保护水平。
配置HSTS头：HSTS（HTTP Strict Transport Security）强制浏览器仅通过HTTPS访问你的网站，并且在一段时间内记住这个规则。这对于防止中间人攻击非常有用。
选择合适的TLS版本：禁用过时的TLS协议版本（如TLSv1.0, TLSv1.1），只允许现代浏览器使用的TLSv1.2及以上版本。
调整密码套件：移除不安全的加密算法，优先选用前向保密（Forward Secrecy）特性良好的组合。
压缩与缓存：合理利用gzip压缩技术降低带宽消耗，同时设置适当的缓存策略加速页面加载速度。