14 KiB
14 KiB
当前SSL配置文档
生成时间: 2025年1月28日
服务器IP: 101.43.95.130
域名: www.ruilaizipj.com
一、配置完成状态
✅ 已完成的操作
-
✅ 停止并禁用系统nginx
- 系统nginx服务已停止
- 已禁用开机自启动
-
✅ 生成宝塔面板SSL证书
- 用于面板自身的HTTPS访问
- 证书已生成并配置
-
✅ 启动宝塔nginx
- 宝塔nginx服务正常运行
- 主进程:
/www/server/nginx/sbin/nginx
-
✅ 端口监听状态
- 80端口:正常监听
- 443端口:正常监听
-
✅ HTTP和HTTPS访问
- HTTP访问:正常(返回200 OK)
- HTTPS访问:正常(返回200 OK)
二、当前运行状态
Web服务器状态
| 项目 | 状态 | 说明 |
|---|---|---|
| 系统nginx | ❌ 已停止并禁用 | 不再使用 |
| 宝塔nginx | ✅ 正在运行 | 主进程:/www/server/nginx/sbin/nginx |
| 80端口 | ✅ 正常监听 | HTTP访问 |
| 443端口 | ✅ 正常监听 | HTTPS访问 |
Nginx版本信息
nginx version: nginx/1.20.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
三、网站SSL证书配置
证书基本信息
| 配置项 | 值 |
|---|---|
| 证书域名 | www.ruilaizipj.com |
| 颁发机构 | TrustAsia DV TLS RSA CA 2025 |
| 证书类型 | DV SSL证书(域名验证型) |
| 有效期开始 | 2026-01-28 00:00:00 GMT |
| 有效期结束 | 2026-04-27 23:59:59 GMT |
| 有效期 | 90天 |
| SHA1指纹 | 0C:24:BC:99:DB:D2:94:13:C8:85:BD:CC:3E:DB:C8:B5:EA:F5:26:D6 |
证书文件位置
证书文件路径:
/www/server/panel/vhost/cert/101.43.95.130/fullchain.pem
私钥文件路径:
/www/server/panel/vhost/cert/101.43.95.130/privkey.pem
证书文件详情
| 文件 | 大小 | 权限 | 修改时间 |
|---|---|---|---|
fullchain.pem |
4.4KB | 600 (rw-------) | 2026-01-28 12:42 |
privkey.pem |
1.7KB | 600 (rw-------) | 2026-01-28 12:42 |
www.ruilaizipj.com_bundle.crt |
4.4KB | 600 (rw-------) | 2026-01-28 12:11 |
www.ruilaizipj.com.key |
1.7KB | 600 (rw-------) | 2026-01-28 12:11 |
说明:
fullchain.pem和privkey.pem为当前使用的证书文件www.ruilaizipj.com_bundle.crt和www.ruilaizipj.com.key为备份文件
Nginx SSL配置
配置文件位置:
/www/server/panel/vhost/nginx/101.43.95.130.conf
SSL配置内容:
listen 443 ssl http2 default_server;
server_name www.ruilaizipj.com 101.43.95.130;
ssl_certificate /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/101.43.95.130/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=31536000";
error_page 497 https://$host$request_uri;
SSL配置说明:
- SSL协议版本: TLSv1.1, TLSv1.2, TLSv1.3
- SSL加密套件: 支持多种加密算法
- 会话缓存: 10MB共享缓存
- 会话超时: 10分钟
- HSTS: 已启用,最大有效期31536000秒(1年)
- HTTP到HTTPS重定向: 已启用(497错误页)
四、宝塔面板SSL证书配置
面板证书基本信息
| 配置项 | 值 |
|---|---|
| 证书域名 | localhost |
| 颁发机构 | localhost(自签名证书) |
| 有效期开始 | 2026-01-28 04:54:31 GMT |
| 有效期结束 | 2027-01-28 04:54:31 GMT |
| 有效期 | 1年 |
面板证书文件位置
证书文件路径:
/www/server/panel/ssl/certificate.pem
私钥文件路径:
/www/server/panel/ssl/privateKey.pem
面板证书文件详情
| 文件 | 大小 | 权限 | 修改时间 |
|---|---|---|---|
certificate.pem |
1.1KB | 644 (rw-r--r--) | 2026-01-28 12:54 |
privateKey.pem |
1.7KB | 644 (rw-r--r--) | 2026-01-28 12:54 |
面板配置信息
| 配置项 | 值 |
|---|---|
| SSL启用状态 | True(已启用) |
| 面板端口 | 38193 |
| 面板路径 | /e626af3f |
| 访问地址 | https://101.43.95.130:38193/e626af3f |
五、访问测试结果
HTTP访问测试
测试地址: http://101.43.95.130
测试结果:
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
✅ 状态:正常
HTTPS访问测试
测试地址1: https://101.43.95.130
测试结果:
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
✅ 状态:正常
测试地址2: https://www.ruilaizipj.com
测试结果:
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
✅ 状态:正常
证书验证测试
证书域名验证:
- ✅
www.ruilaizipj.com- 证书匹配 - ✅
ruilaizipj.com- 证书包含(SAN扩展)
证书链验证:
- ✅ 证书链完整
- ✅ 颁发机构:TrustAsia DV TLS RSA CA 2025
六、端口监听状态
当前监听的端口
| 端口 | 协议 | 状态 | 进程 |
|---|---|---|---|
| 80 | TCP | ✅ 监听 | nginx: master |
| 443 | TCP | ✅ 监听 | nginx: master |
安全组配置
已开放的端口:
- ✅ 80端口(HTTP)
- ✅ 443端口(HTTPS)
安全组规则:
- 协议:TCP
- 端口:443
- 源:全部IPv4地址
- 动作:允许
七、SSL配置详细参数
SSL协议配置
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
支持的协议版本:
- TLS 1.1(已启用,但建议禁用)
- TLS 1.2(推荐)
- TLS 1.3(最新,推荐)
SSL加密套件
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
支持的加密算法:
- ECDH + CHACHA20
- ECDH + AES128
- RSA + AES128
- ECDH + AES256
- RSA + AES256
- ECDH + 3DES
- RSA + 3DES
- 禁用:MD5
SSL会话配置
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
- 会话缓存: 10MB共享内存
- 会话超时: 10分钟
HSTS配置
add_header Strict-Transport-Security "max-age=31536000";
- HSTS: 已启用
- 最大有效期: 31536000秒(1年)
- 作用: 强制浏览器使用HTTPS访问
八、证书续期提醒
网站SSL证书
- 当前有效期: 2026-01-28 至 2026-04-27
- 剩余天数: 约90天
- 续期建议: 到期前30天续期
续期步骤
-
在腾讯云重新申请证书
- 访问:https://console.cloud.tencent.com/ssl
- 申请新的免费证书
-
下载新证书
- 选择"Nginx"格式
- 下载证书文件
-
替换证书文件
# 备份旧证书 cp /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem.bak cp /www/server/panel/vhost/cert/101.43.95.130/privkey.pem /www/server/panel/vhost/cert/101.43.95.130/privkey.pem.bak # 替换新证书 cp 新证书_bundle.crt /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem cp 新证书.key /www/server/panel/vhost/cert/101.43.95.130/privkey.pem # 重载nginx nginx -s reload
九、配置文件位置汇总
Nginx配置文件
| 文件 | 路径 |
|---|---|
| 主配置文件 | /www/server/nginx/conf/nginx.conf |
| 网站配置 | /www/server/panel/vhost/nginx/101.43.95.130.conf |
| 重写规则 | /www/server/panel/vhost/rewrite/101.43.95.130.conf |
SSL证书文件
| 文件类型 | 路径 |
|---|---|
| 网站证书 | /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem |
| 网站私钥 | /www/server/panel/vhost/cert/101.43.95.130/privkey.pem |
| 面板证书 | /www/server/panel/ssl/certificate.pem |
| 面板私钥 | /www/server/panel/ssl/privateKey.pem |
日志文件
| 日志类型 | 路径 |
|---|---|
| 访问日志 | /www/wwwlogs/101.43.95.130.log |
| 错误日志 | /www/wwwlogs/101.43.95.130.error.log |
| Nginx错误日志 | /var/log/nginx/error.log |
十、常用命令
检查SSL证书
# 查看网站证书信息
openssl x509 -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem -noout -subject -issuer -dates
# 查看面板证书信息
openssl x509 -in /www/server/panel/ssl/certificate.pem -noout -subject -issuer -dates
# 验证证书和私钥是否匹配
openssl x509 -noout -modulus -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem | openssl md5
openssl rsa -noout -modulus -in /www/server/panel/vhost/cert/101.43.95.130/privkey.pem | openssl md5
Nginx管理命令
# 测试nginx配置
nginx -t
# 重载nginx配置(不中断服务)
nginx -s reload
# 重启nginx
systemctl restart nginx
# 或
/etc/init.d/nginx restart
端口检查
# 检查端口监听状态
netstat -tlnp | grep -E ":80|:443"
# 检查SSL连接
openssl s_client -connect 101.43.95.130:443 -servername www.ruilaizipj.com
十一、安全建议
当前配置安全等级
| 安全项 | 状态 | 建议 |
|---|---|---|
| HTTPS启用 | ✅ 已启用 | 保持 |
| HSTS | ✅ 已启用 | 保持 |
| TLS 1.3 | ✅ 已支持 | 保持 |
| TLS 1.1 | ⚠️ 已启用 | 建议禁用(安全性较低) |
| 证书有效期 | ⚠️ 90天 | 建议到期前续期 |
安全优化建议
-
禁用TLS 1.1
ssl_protocols TLSv1.2 TLSv1.3; -
启用OCSP Stapling(可选)
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem; -
定期检查证书有效期
- 设置提醒,到期前30天续期
十二、故障排查
常见问题
1. HTTPS无法访问
检查步骤:
# 1. 检查443端口是否监听
netstat -tlnp | grep :443
# 2. 检查nginx是否运行
ps aux | grep nginx
# 3. 检查证书文件是否存在
ls -la /www/server/panel/vhost/cert/101.43.95.130/
# 4. 检查nginx配置
nginx -t
# 5. 检查安全组
# 登录腾讯云控制台,检查安全组443端口是否开放
2. 证书过期
解决方法:
- 按照"证书续期步骤"重新申请并部署证书
3. 证书不匹配
检查方法:
# 验证证书域名
openssl x509 -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem -noout -text | grep DNS
十三、配置总结
✅ 配置完成情况
| 配置项 | 状态 | 说明 |
|---|---|---|
| 系统nginx | ✅ 已停止 | 不再使用 |
| 宝塔nginx | ✅ 正常运行 | 主进程运行中 |
| 网站SSL证书 | ✅ 已配置 | 有效期至2026-04-27 |
| 面板SSL证书 | ✅ 已生成 | 有效期至2027-01-28 |
| 80端口 | ✅ 正常监听 | HTTP访问正常 |
| 443端口 | ✅ 正常监听 | HTTPS访问正常 |
| HTTP访问 | ✅ 正常 | 返回200 OK |
| HTTPS访问 | ✅ 正常 | 返回200 OK |
| HSTS | ✅ 已启用 | 强制HTTPS |
| 安全组 | ✅ 已配置 | 443端口已开放 |
📋 访问地址
| 访问方式 | 地址 | 状态 |
|---|---|---|
| HTTP(IP) | http://101.43.95.130 | ✅ 正常 |
| HTTPS(IP) | https://101.43.95.130 | ✅ 正常 |
| HTTPS(域名) | https://www.ruilaizipj.com | ✅ 正常 |
| 后台登录 | https://www.ruilaizipj.com/adminghd/login | ✅ 正常 |
十四、维护计划
定期检查项
-
每周检查
- 检查nginx服务状态
- 检查端口监听状态
-
每月检查
- 检查证书有效期
- 检查SSL配置
-
到期前30天
- 申请新证书
- 部署新证书
- 测试HTTPS访问
文档生成时间: 2025年1月28日
服务器IP: 101.43.95.130
域名: www.ruilaizipj.com
配置人员: AI助手
附录:完整Nginx SSL配置
server
{
listen 80 default_server;
listen 443 ssl http2 default_server;
server_name www.ruilaizipj.com 101.43.95.130;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/code/public;
#SSL-START SSL相关配置
ssl_certificate /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/101.43.95.130/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=31536000";
error_page 497 https://$host$request_uri;
#SSL-END
#PHP配置
include enable-php-56.conf;
#URL重写规则
include /www/server/panel/vhost/rewrite/101.43.95.130.conf;
#静态资源缓存
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
error_log /dev/null;
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
expires 12h;
error_log /dev/null;
access_log /dev/null;
}
access_log /www/wwwlogs/101.43.95.130.log;
error_log /www/wwwlogs/101.43.95.130.error.log;
}
文档结束