Bootstrap

Nginx 上安装 SSL 证书并启用 HTTPS 访问

本文将介绍如何在 Nginx 上为你的域名安装 SSL 证书,并配置 Nginx 使用 HTTPS 安全访问。我们将使用 Let’s Encrypt 免费的 SSL 证书,通过 Certbot 生成并管理证书,然后配置 Nginx 实现 HTTPS 加密访问。同时,我们将解决因 SSL 证书导致的代码拉取问题。

一、前置准备

  • 服务器:一台运行 Nginx 的服务器(如阿里云、AWS、DigitalOcean 等云服务器)。
  • 域名:一个已指向服务器公网 IP 的域名(例如 gitea.example.com)。
  • 服务器访问权限:确保你有服务器的 root 权限或 sudo 用户权限。

二、安装 Certbot 和生成 SSL 证书

Certbot 是 Let’s Encrypt 提供的一个工具,用于自动生成和管理 SSL 证书。

1. 安装 Certbot

在基于 Debian/Ubuntu 的系统上,可以使用以下命令安装 Certbot 和 Nginx 插件:

sudo apt update
sudo apt install certbot python3-certbot-nginx -y

2. 使用 Certbot 生成 SSL 证书

Certbot 可以自动为你的域名生成和安装 SSL 证书。运行以下命令:

sudo certbot --nginx -d gitea.example.com
  • --nginx:告诉 Certbot 自动配置 Nginx。
  • -d:指定需要申请证书的域名。

Certbot 会提示输入邮箱地址并同意服务条款。之后,它将自动生成 SSL 证书并更新 Nginx 配置以启用 HTTPS。

3. 验证证书安装

Certbot 完成后,你可以运行以下命令检查证书:

sudo certbot certificates

这将显示已安装证书的信息。确保域名和证书路径正确无误。

三、配置 Nginx 以启用 HTTPS

Certbot 在生成证书时会自动修改 Nginx 配置,但你可以手动优化和调整配置以满足安全性和性能的需求。以下是一个标准的 HTTPS 配置示例。

1. Nginx 配置文件

假设你的网站配置文件在 /etc/nginx/sites-available/gitea 中。打开该文件进行编辑:

# HTTPS 部分 - 配置反向代理到服务
server {
    listen 443 ssl http2;  # 启用 HTTP/2 支持
    server_name gitea.example.com;

    # SSL 配置 - Certbot 自动生成的配置
    ssl_certificate /etc/letsencrypt/live/gitea.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/gitea.example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;  # Certbot 的自动配置文件
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # HSTS(HTTP Strict Transport Security)配置
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 反向代理设置(代理到本地服务或其他端口)
    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 超时设置
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

# HTTP 重定向到 HTTPS
server {
    listen 80;
    server_name gitea.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

2. 配置说明

  • HTTP 重定向:80 端口的 HTTP 请求将被自动重定向到 HTTPS。
  • SSL 证书路径ssl_certificatessl_certificate_key 路径指向 Certbot 生成的证书。
  • HSTS 配置add_header Strict-Transport-Security 可以强制客户端在未来仅通过 HTTPS 访问,防止降级攻击。

3. 检查和重启 Nginx

创建软链接以启用该配置:

sudo ln -s /etc/nginx/sites-available/gitea /etc/nginx/sites-enabled/

检查 Nginx 配置是否正确:

sudo nginx -t

如果一切正常,重新加载 Nginx 配置:

sudo systemctl reload nginx

四、拉取代码时的 SSL 证书问题及解决方案

在启用了 HTTPS 后,Git 客户端可能会因 SSL 证书问题而无法克隆或拉取代码。以下是几种解决方案:

1. 使用 Let’s Encrypt 或其他受信任的证书

如果你还没有使用受信任的 SSL 证书,可以通过 Let’s Encrypt 获取免费证书,这样 Git 客户端将自动信任该证书。

2. 手动信任自签名证书(不推荐生产环境使用)

在 Windows 系统中
  1. 导出自签名证书:使用以下命令导出 Gitea 服务器上的自签名证书。在 Windows 中使用 <nul 替代 < /dev/null

    openssl s_client -showcerts -connect gitea.example.com:443 <nul | openssl x509 -outform PEM > gitea.crt
    
  2. 在 Windows 中安装证书:双击 gitea.crt 文件,选择“安装证书”,并将其安装到 受信任的根证书颁发机构 中。

在 macOS/Linux 系统中
  1. .crt 文件复制到 /usr/local/share/ca-certificates/ 目录中:

    sudo cp gitea.crt /usr/local/share/ca-certificates/gitea.crt
    
  2. 更新系统的 CA 证书:

    sudo update-ca-certificates
    

3. 在 Git 配置中关闭 SSL 验证(仅限测试环境)

在特定项目中关闭 SSL 验证:

git config http.https://gitea.example.com.sslVerify "false"

4. 使用 SSH 连接

如果 Gitea 支持 SSH,可以使用 SSH 协议克隆仓库,避免 SSL 证书问题。

git clone [email protected]:username/repository.git

五、测试 HTTPS 访问

在浏览器中访问 https://gitea.example.com,确保网站可以通过 HTTPS 正常加载。如果一切配置正确,浏览器地址栏应显示一个锁标志,表示连接已加密。

六、自动续订证书

Let’s Encrypt 证书有效期为 90 天。Certbot 已自动设置续订任务,可以通过以下命令手动测试续订:

sudo certbot renew --dry-run

七、总结

通过 Certbot 和 Nginx 配置 HTTPS 可以显著提高网站的安全性,并且 Let’s Encrypt 提供的免费证书使配置过程简单高效。按以上步骤设置后,你的站点将支持 HTTPS 安全访问,提升用户数据传输的安全性。同时,通过信任自签名证书或使用 SSH 协议,Git 客户端可以顺利地克隆和拉取代码。

;