Nginx SSL 配置错误详解

在当今互联网环境中，SSL（Secure Sockets Layer）和其继任者 TLS（Transport Layer Security）已经成为了确保 Web 应用安全的重要协议。Nginx 作为一款高性能的 Web 服务器，广泛应用于 HTTPS（即 HTTP over SSL/TLS）协议的配置与管理。配置 SSL/TLS 能够加密客户端与服务器之间的通信，确保数据的机密性、完整性和身份验证。
然而，在实际使用中，Nginx 的 SSL 配置可能会遇到各种错误，这些错误会导致网站无法启用 HTTPS，或使得连接不安全。因此，了解 SSL 配置错误的常见原因以及如何排查和解决这些问题，对于保障 Web 应用的安全性至关重要。

一、Nginx SSL 配置的基本要求

在讨论常见的 SSL 配置错误之前，我们先回顾一下 Nginx 正确配置 SSL 所需的基本步骤。

1.1 安装 SSL 证书

为了启用 SSL，首先需要获得一个有效的 SSL 证书。这个证书可以通过以下方式获取：

• 从受信任的证书颁发机构（CA）购买商业证书。
  
• 使用 Let’s Encrypt 等免费证书颁发机构生成免费证书。
  

SSL 证书通常由以下几部分组成：

• 证书文件（cert.pem）：包含公钥和有关证书的信息。
  
• 私钥文件（privkey.pem）：与公钥配对的私钥，必须保密。
  
• 证书链（chain.pem）：包含中间证书和根证书，用于验证证书的可信度。
  

1.2 配置 Nginx 使用 SSL

一旦获得了 SSL 证书和私钥文件，就可以在 Nginx 配置中启用 SSL。
一个基本的 SSL 配置如下所示：

1. server {
   
2.     listen 443 ssl;
   
3.     server_name example.com;
   
4. 
   
5.     ssl_certificate /etc/nginx/ssl/example.com.crt;
   
6.     ssl_certificate_key /etc/nginx/ssl/example.com.key;
   
7.     ssl_trusted_certificate /etc/nginx/ssl/example.com.chain.crt;
   
8. 
   
9.     ssl_protocols TLSv1.2 TLSv1.3;
   
10.     ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    
11.     ssl_prefer_server_ciphers on;
    
12. 
    
13.     location / {
    
14.         root /var/www/html;
    
15.         index index.html;
    
16.     }
    
17. }

复制代码

• 1. listen 443 ssl;

  复制代码
  ：指定 Nginx 监听 443 端口，并启用 SSL。
  
• 1. ssl_certificate

  复制代码
  ：指定证书文件的路径。
  
• 1. ssl_certificate_key

  复制代码
  ：指定私钥文件的路径。
  
• 1. ssl_protocols

  复制代码
  ：指定允许的 SSL/TLS 协议版本。
  
• 1. ssl_ciphers

  复制代码
  ：指定支持的加密套件。
  

二、常见的 Nginx SSL 配置错误及解决方案

在实际配置 Nginx 的 SSL 时，可能会遇到各种错误。以下是一些常见的 Nginx SSL 配置错误及其解决方法：

2.1 SSL 证书和私钥不匹配

错误描述：
Nginx 启动时，可能会出现以下错误信息：

1. nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/ssl/example.com.crt") failednginx: [emerg] SSL_CTX_use_certificate_chain_file("/etc/nginx/ssl/example.com.crt") failed

复制代码

这个错误通常是因为 SSL 证书和私钥文件不匹配，导致 Nginx 无法加载证书。
解决方法：
确保在 Nginx 配置中指定的

1. ssl_certificate

复制代码

和

1. ssl_certificate_key

复制代码

文件是配对的，且确实包含正确的证书和私钥。
例如，

1. example.com.crt

复制代码

是证书文件，

1. example.com.key

复制代码

是与之配对的私钥文件。
1.检查证书文件和私钥文件是否匹配：
使用以下命令检查证书和私钥是否匹配：

1. openssl x509 -noout -modulus -in /etc/nginx/ssl/example.com.crt | openssl md5
   
2. openssl rsa -noout -modulus -in /etc/nginx/ssl/example.com.key | openssl md5

复制代码

如果这两个命令的输出不同，说明证书和私钥不匹配。
2.确保私钥和证书属于同一对。如果它们不匹配，则需要重新生成证书和私钥，或联系证书颁发机构获取正确的配对文件。

2.2 SSL 配置中的协议版本错误

错误描述：
Nginx 配置了 SSL，但出现了以下错误：

1. SSL routines:ssl3_get_record:wrong version number

复制代码

这个错误通常是由于 Nginx 配置的 SSL/TLS 协议版本不兼容或者被禁用了某些协议。
解决方法：
检查

1. ssl_protocols

复制代码

配置项，确保启用了适当的协议版本。推荐使用 TLS 1.2 和 TLS 1.3，因为它们提供了更强的安全性。

1. ssl_protocols TLSv1.2 TLSv1.3;

复制代码

不建议启用较旧的 SSL/TLS 协议版本，如 SSLv3 和 TLSv1.0，因为它们已被视为不安全。

2.3 中间证书（Chain）未配置

错误描述：
如果没有正确配置证书链，浏览器可能会出现以下错误：

1. ERR_SSL_PROTOCOL_ERROR

复制代码

或者：

1. SSL certificate problem: unable to get local issuer certificate

复制代码

这个错误通常表示 Nginx 配置的 SSL 证书链不完整，导致客户端无法验证证书的可信性。
解决方法：
确保证书链文件（

1. ssl_certificate

复制代码

和

1. ssl_trusted_certificate

复制代码

）正确配置。证书链文件应包含所有中间证书和根证书，并与主证书一起构成完整的证书链。

1. ssl_certificate /etc/nginx/ssl/example.com.crt;
   
2. ssl_certificate_key /etc/nginx/ssl/example.com.key;
   
3. ssl_trusted_certificate /etc/nginx/ssl/example.com.chain.crt;

复制代码

• 1. ssl_certificate

  复制代码
  ：指定服务器证书（主证书）。
  
• 1. ssl_trusted_certificate

  复制代码
  ：指定证书链文件，包括中间证书和根证书。
  

如果没有单独的证书链文件，可以将证书和链合并为一个文件，作为

1. ssl_certificate

复制代码

的路径。

2.4 错误的加密套件配置

错误描述：
配置 SSL 时，出现以下错误：

1. nginx: [emerg] invalid cipher suite "ECDHE-RSA-AES128-GCM-SHA256"

复制代码

这个错误通常发生在配置了无效的加密套件，或者 Nginx 不支持指定的加密算法。
解决方法：
确保

1. ssl_ciphers

复制代码

配置项中的加密套件符合现代加密标准，且是 Nginx 支持的加密套件。例如：

1. ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

复制代码

可以参考现代的加密套件推荐，如 Mozilla SSL Configuration Generator 来生成安全的加密套件。

2.5 不安全的 SSL 配置

错误描述：
Nginx 配置了 SSL，但由于配置不当，仍然可能存在安全漏洞。
例如，使用了不安全的加密套件或不支持最新的协议版本，导致 SSL/TLS 连接易受攻击。
解决方法：
以下是一些推荐的 SSL 配置，以增强 Nginx 的安全性：

1. ssl_protocols TLSv1.2 TLSv1.3;
   
2. ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
   
3. ssl_prefer_server_ciphers on;
   
4. ssl_session_cache shared:SSL:10m;
   
5. ssl_session_timeout 10m;

复制代码

• 1. ssl_protocols

  复制代码
  ：仅启用现代的 TLS 协议版本。
  
• 1. ssl_ciphers

  复制代码
  ：使用安全的加密套件。
  
• 1. ssl_prefer_server_ciphers

  复制代码
  ：优先使用服务器的加密套件。
  
• 1. ssl_session_cache

  复制代码
  ：启用 SSL 会话缓存，提高性能。
  
• 1. ssl_session_timeout

  复制代码
  ：设置会话超时时间。
  

此外，启用 HTTP Strict Transport Security (HSTS) 也是提升安全性的一种有效方法：

1. add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

复制代码

2.6 防止 SSL 恶意攻击（如 POODLE、BEAST）

为了防止已知的 SSL/TLS 攻击（如 POODLE、BEAST 等），确保禁用过时的协议和加密算法。
以下配置可防止这些攻击：

1. ssl_protocols TLSv1.2 TLSv1.3;
   
2. ssl_prefer_server_ciphers on;
   
3. ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

复制代码

• 禁用 SSLv3 和 TLSv1.0。
  
• 启用最新的 TLS 版本和强加密套件。
  

三、SSL 配置优化与性能

除了确保 SSL 配置正确外，还需要进行性能优化，避免 SSL 握手过程带来过高的延迟。以下是一些常见的优化策略：

3.1 启用 OCSP Stapling

OCSP Stapling（Online Certificate Status Protocol）可以减少 SSL 握手时间，提高性能。
启用 OCSP Stapling 后，Nginx 会将证书的状态信息（由证书颁发机构提供）“钉在”证书上，从而避免每次握手时都进行状态查询。

1. ssl_stapling on;
   
2. ssl_stapling_verify on;

复制代码

3.2 启用 Session Resumption

启用会话恢复功能可以减少重复 SSL 握手的开销。通过会话恢复，客户端和服务器可以重复使用已经建立的 SSL 会话，从而减少握手时间。

1. ssl_session_cache shared:SSL:10m;
   
2. ssl_session_timeout 10m;

复制代码

四、总结

Nginx 的 SSL 配置可能会因多种原因导致错误，从证书与私钥不匹配到协议版本配置错误。通过理解常见的配置错误及其解决方案，开发者和运维人员可以更好地配置 Nginx 的 SSL，使 Web 应用在保证安全性的同时，也能提供更好的性能。
确保 SSL/TLS 配置符合现代安全标准，避免使用过时的协议和弱加密算法。通过合理配置加密套件、启用 OCSP Stapling 和会话恢复，可以显著提升 Nginx 的 SSL 性能。
以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

来源：互联网
免责声明：如果侵犯了您的权益，请联系站长（1277306191@qq.com），我们会及时删除侵权内容，谢谢合作！