一.申请SSL

1.登录腾讯云控制台并搜索SSL

image-20251204142232389

2.点击申请免费证书

image-20251204142401353

image-20251204142426128

3.填入域名申请即可

image-20251204142458081

4.等待签发完成即可

image-20251204142547823

二.部署SSL

1.Nginx部署

①点击下载

image-20251204142732518

②选择Nginx

image-20251204142807967

③一共有4个文件

image-20251204142840278

④上传到服务器 ,我是放在了 /etc/nginx/ssl/kluhten.com/ 文件夹中

image-20251204143047068

⑤配置Nginx SSL参数

修改Nginx的站点配置文件(通常位于/etc/nginx/conf.d/yourdomain.conf/etc/nginx/nginx.conf),添加server块监听443端口并启用SSL。以下是2025年推荐的最佳配置(兼顾安全与性能):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
server {
    listen 443 ssl http2;  # 监听443端口,启用SSL与HTTP/2(提升性能)
    server_name kluhten.com www.kluhten.com;  # 你的域名(需与证书匹配)
    # 证书文件路径(替换为你的实际路径)
    ssl_certificate /etc/nginx/ssl/kluhten.com/kluhten.com_bundle.crt;  # 证书+中间链(必选)
    ssl_certificate_key /etc/nginx/ssl/kluhten.com/kluhten.com.key;  # 私钥(必选)

    # 安全协议与加密套件(推荐配置)
    ssl_protocols TLSv1.2 TLSv1.3;  # 仅支持TLS 1.2及以上(禁用TLS 1.0/1.1)
    ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384";  # 强加密套件(抗降级)
    ssl_prefer_server_ciphers on;  # 优先使用服务器端密码套件

    # 会话缓存(提升性能,减少TLS握手开销)
    ssl_session_cache shared:SSL:10m;  # 共享会话缓存(10MB)
    ssl_session_timeout 10m;  # 会话超时时间(10分钟)

    # 严格传输安全(HSTS,强制浏览器使用HTTPS,需确认全站HTTPS后启用)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 基础安全头(防止XSS、点击劫持等攻击)
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # 站点根目录与日志(根据你的项目调整)
    root /var/www/yourdomain/html;
    index index.html index.htm;
}

⑥输入 nginx -V 检查一下服务器的 nginx 是否有 ssl 模块:

image-20251204144720379

⑦输入 nginx -t 查看配置文件是否正确:

image-20251204144823891

nginx -s reload 重启 nginx

再次请求你得域名就会发现,域名前面多了一个小锁头,这样就成功了

image-20251204150310708