Nginx反向代理HTTPS配置指南

为什么需要HTTPS反向代理

HTTPS反向代理能够： 1. 加密客户端与服务器之间的通信 2. 保护敏感数据不被窃取或篡改 3. 提升网站可信度和SEO排名 4. 实现SSL/TLS卸载，减轻后端服务器负担

基础配置步骤

1. 获取SSL证书

可以从以下途径获取： - Let's Encrypt（免费） - 商业CA（如DigiCert、GlobalSign等） - 自签名证书（仅测试环境使用）

推荐使用Let's Encrypt：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com

2. 基础HTTPS反向代理配置

server {
    listen 443 ssl;
    server_name yourdomain.com;

    # SSL证书配置
    ssl_certificate /path/to/yourdomain.com.crt;
    ssl_certificate_key /path/to/yourdomain.com.key;

    # SSL协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:...';

    # 反向代理设置
    location / {
        proxy_pass http://backend_server_ip:port;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

3. HTTP重定向到HTTPS

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

高级安全配置

1. 增强SSL安全性

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

# 使用更安全的DH参数
ssl_dhparam /path/to/dhparam.pem;

生成DH参数：

openssl dhparam -out /etc/nginx/dhparam.pem 2048

2. 启用HSTS

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

3. OCSP Stapling配置

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

性能优化

1. SSL会话复用

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

2. TLS 1.3优先

ssl_protocols TLSv1.3 TLSv1.2;

3. 启用HTTP/2

listen 443 ssl http2;

常见问题排查

1. 证书错误：

   • 确保证书路径正确
   • 检查证书链是否完整
   • 验证证书是否过期

2. 混合内容警告：

   • 确保所有资源（CSS、JS、图片）都通过HTTPS加载
   • 使用内容安全策略(CSP)头

3. 性能问题：

   • 启用OCSP Stapling减少握手时间
   • 使用TLS 1.3减少握手延迟
   • 考虑使用更快的加密算法

完整配置示例

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    ssl_protocols TLSv1.3 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_ecdh_curve secp384r1;
    ssl_dhparam /etc/nginx/dhparam.pem;

    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";
    add_header Referrer-Policy "strict-origin-when-cross-origin";

    location / {
        proxy_pass http://backend_server:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 86400;
    }

    location /.well-known/acme-challenge/ {
        root /var/www/html;
    }
}

证书自动续期

对于Let's Encrypt证书（90天有效期），设置自动续期：

sudo crontab -e

添加以下内容（每周检查并续期）：

0 0 * * 0 /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"

通过以上配置，您可以建立一个安全、高效的HTTPS反向代理服务，有效保护网站数据传输安全。