code/当前SSL配置.md

# 当前SSL配置文档

**生成时间：** 2025年1月28日  
**服务器IP：** 101.43.95.130  
**域名：** www.ruilaizipj.com

---

## 一、配置完成状态

### ✅ 已完成的操作

1. ✅ **停止并禁用系统nginx**
   - 系统nginx服务已停止
   - 已禁用开机自启动

2. ✅ **生成宝塔面板SSL证书**
   - 用于面板自身的HTTPS访问
   - 证书已生成并配置

3. ✅ **启动宝塔nginx**
   - 宝塔nginx服务正常运行
   - 主进程：`/www/server/nginx/sbin/nginx`

4. ✅ **端口监听状态**
   - 80端口：正常监听
   - 443端口：正常监听

5. ✅ **HTTP和HTTPS访问**
   - HTTP访问：正常（返回200 OK）
   - HTTPS访问：正常（返回200 OK）

---

## 二、当前运行状态

### Web服务器状态

| 项目 | 状态 | 说明 |
|------|------|------|
| **系统nginx** | ❌ 已停止并禁用 | 不再使用 |
| **宝塔nginx** | ✅ 正在运行 | 主进程：`/www/server/nginx/sbin/nginx` |
| **80端口** | ✅ 正常监听 | HTTP访问 |
| **443端口** | ✅ 正常监听 | HTTPS访问 |

### Nginx版本信息

```
nginx version: nginx/1.20.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
```

---

## 三、网站SSL证书配置

### 证书基本信息

| 配置项 | 值 |
|--------|-----|
| **证书域名** | www.ruilaizipj.com |
| **颁发机构** | TrustAsia DV TLS RSA CA 2025 |
| **证书类型** | DV SSL证书（域名验证型） |
| **有效期开始** | 2026-01-28 00:00:00 GMT |
| **有效期结束** | 2026-04-27 23:59:59 GMT |
| **有效期** | 90天 |
| **SHA1指纹** | 0C:24:BC:99:DB:D2:94:13:C8:85:BD:CC:3E:DB:C8:B5:EA:F5:26:D6 |

### 证书文件位置

**证书文件路径：**
```
/www/server/panel/vhost/cert/101.43.95.130/fullchain.pem
```

**私钥文件路径：**
```
/www/server/panel/vhost/cert/101.43.95.130/privkey.pem
```

### 证书文件详情

| 文件 | 大小 | 权限 | 修改时间 |
|------|------|------|----------|
| `fullchain.pem` | 4.4KB | 600 (rw-------) | 2026-01-28 12:42 |
| `privkey.pem` | 1.7KB | 600 (rw-------) | 2026-01-28 12:42 |
| `www.ruilaizipj.com_bundle.crt` | 4.4KB | 600 (rw-------) | 2026-01-28 12:11 |
| `www.ruilaizipj.com.key` | 1.7KB | 600 (rw-------) | 2026-01-28 12:11 |

**说明：**
- `fullchain.pem` 和 `privkey.pem` 为当前使用的证书文件
- `www.ruilaizipj.com_bundle.crt` 和 `www.ruilaizipj.com.key` 为备份文件

### Nginx SSL配置

**配置文件位置：**
```
/www/server/panel/vhost/nginx/101.43.95.130.conf
```

**SSL配置内容：**
```nginx
listen 443 ssl http2 default_server;
server_name www.ruilaizipj.com 101.43.95.130;

ssl_certificate    /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem;
ssl_certificate_key    /www/server/panel/vhost/cert/101.43.95.130/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=31536000";
error_page 497  https://$host$request_uri;
```

**SSL配置说明：**
- **SSL协议版本：** TLSv1.1, TLSv1.2, TLSv1.3
- **SSL加密套件：** 支持多种加密算法
- **会话缓存：** 10MB共享缓存
- **会话超时：** 10分钟
- **HSTS：** 已启用，最大有效期31536000秒（1年）
- **HTTP到HTTPS重定向：** 已启用（497错误页）

---

## 四、宝塔面板SSL证书配置

### 面板证书基本信息

| 配置项 | 值 |
|--------|-----|
| **证书域名** | localhost |
| **颁发机构** | localhost（自签名证书） |
| **有效期开始** | 2026-01-28 04:54:31 GMT |
| **有效期结束** | 2027-01-28 04:54:31 GMT |
| **有效期** | 1年 |

### 面板证书文件位置

**证书文件路径：**
```
/www/server/panel/ssl/certificate.pem
```

**私钥文件路径：**
```
/www/server/panel/ssl/privateKey.pem
```

### 面板证书文件详情

| 文件 | 大小 | 权限 | 修改时间 |
|------|------|------|----------|
| `certificate.pem` | 1.1KB | 644 (rw-r--r--) | 2026-01-28 12:54 |
| `privateKey.pem` | 1.7KB | 644 (rw-r--r--) | 2026-01-28 12:54 |

### 面板配置信息

| 配置项 | 值 |
|--------|-----|
| **SSL启用状态** | True（已启用） |
| **面板端口** | 38193 |
| **面板路径** | /e626af3f |
| **访问地址** | https://101.43.95.130:38193/e626af3f |

---

## 五、访问测试结果

### HTTP访问测试

**测试地址：** `http://101.43.95.130`

**测试结果：**
```
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
```

✅ **状态：正常**

### HTTPS访问测试

**测试地址1：** `https://101.43.95.130`

**测试结果：**
```
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
```

✅ **状态：正常**

**测试地址2：** `https://www.ruilaizipj.com`

**测试结果：**
```
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
```

✅ **状态：正常**

### 证书验证测试

**证书域名验证：**
- ✅ `www.ruilaizipj.com` - 证书匹配
- ✅ `ruilaizipj.com` - 证书包含（SAN扩展）

**证书链验证：**
- ✅ 证书链完整
- ✅ 颁发机构：TrustAsia DV TLS RSA CA 2025

---

## 六、端口监听状态

### 当前监听的端口

| 端口 | 协议 | 状态 | 进程 |
|------|------|------|------|
| **80** | TCP | ✅ 监听 | nginx: master |
| **443** | TCP | ✅ 监听 | nginx: master |

### 安全组配置

**已开放的端口：**
- ✅ 80端口（HTTP）
- ✅ 443端口（HTTPS）

**安全组规则：**
- 协议：TCP
- 端口：443
- 源：全部IPv4地址
- 动作：允许

---

## 七、SSL配置详细参数

### SSL协议配置

```nginx
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
```

**支持的协议版本：**
- TLS 1.1（已启用，但建议禁用）
- TLS 1.2（推荐）
- TLS 1.3（最新，推荐）

### SSL加密套件

```nginx
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
```

**支持的加密算法：**
- ECDH + CHACHA20
- ECDH + AES128
- RSA + AES128
- ECDH + AES256
- RSA + AES256
- ECDH + 3DES
- RSA + 3DES
- 禁用：MD5

### SSL会话配置

```nginx
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
```

- **会话缓存：** 10MB共享内存
- **会话超时：** 10分钟

### HSTS配置

```nginx
add_header Strict-Transport-Security "max-age=31536000";
```

- **HSTS：** 已启用
- **最大有效期：** 31536000秒（1年）
- **作用：** 强制浏览器使用HTTPS访问

---

## 八、证书续期提醒

### 网站SSL证书

- **当前有效期：** 2026-01-28 至 2026-04-27
- **剩余天数：** 约90天
- **续期建议：** 到期前30天续期

### 续期步骤

1. **在腾讯云重新申请证书**
   - 访问：https://console.cloud.tencent.com/ssl
   - 申请新的免费证书

2. **下载新证书**
   - 选择"Nginx"格式
   - 下载证书文件

3. **替换证书文件**
   ```bash
   # 备份旧证书
   cp /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem.bak
   cp /www/server/panel/vhost/cert/101.43.95.130/privkey.pem /www/server/panel/vhost/cert/101.43.95.130/privkey.pem.bak
   
   # 替换新证书
   cp 新证书_bundle.crt /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem
   cp 新证书.key /www/server/panel/vhost/cert/101.43.95.130/privkey.pem
   
   # 重载nginx
   nginx -s reload
   ```

---

## 九、配置文件位置汇总

### Nginx配置文件

| 文件 | 路径 |
|------|------|
| **主配置文件** | `/www/server/nginx/conf/nginx.conf` |
| **网站配置** | `/www/server/panel/vhost/nginx/101.43.95.130.conf` |
| **重写规则** | `/www/server/panel/vhost/rewrite/101.43.95.130.conf` |

### SSL证书文件

| 文件类型 | 路径 |
|---------|------|
| **网站证书** | `/www/server/panel/vhost/cert/101.43.95.130/fullchain.pem` |
| **网站私钥** | `/www/server/panel/vhost/cert/101.43.95.130/privkey.pem` |
| **面板证书** | `/www/server/panel/ssl/certificate.pem` |
| **面板私钥** | `/www/server/panel/ssl/privateKey.pem` |

### 日志文件

| 日志类型 | 路径 |
|---------|------|
| **访问日志** | `/www/wwwlogs/101.43.95.130.log` |
| **错误日志** | `/www/wwwlogs/101.43.95.130.error.log` |
| **Nginx错误日志** | `/var/log/nginx/error.log` |

---

## 十、常用命令

### 检查SSL证书

```bash
# 查看网站证书信息
openssl x509 -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem -noout -subject -issuer -dates

# 查看面板证书信息
openssl x509 -in /www/server/panel/ssl/certificate.pem -noout -subject -issuer -dates

# 验证证书和私钥是否匹配
openssl x509 -noout -modulus -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem | openssl md5
openssl rsa -noout -modulus -in /www/server/panel/vhost/cert/101.43.95.130/privkey.pem | openssl md5
```

### Nginx管理命令

```bash
# 测试nginx配置
nginx -t

# 重载nginx配置（不中断服务）
nginx -s reload

# 重启nginx
systemctl restart nginx
# 或
/etc/init.d/nginx restart
```

### 端口检查

```bash
# 检查端口监听状态
netstat -tlnp | grep -E ":80|:443"

# 检查SSL连接
openssl s_client -connect 101.43.95.130:443 -servername www.ruilaizipj.com
```

---

## 十一、安全建议

### 当前配置安全等级

| 安全项 | 状态 | 建议 |
|--------|------|------|
| **HTTPS启用** | ✅ 已启用 | 保持 |
| **HSTS** | ✅ 已启用 | 保持 |
| **TLS 1.3** | ✅ 已支持 | 保持 |
| **TLS 1.1** | ⚠️ 已启用 | 建议禁用（安全性较低） |
| **证书有效期** | ⚠️ 90天 | 建议到期前续期 |

### 安全优化建议

1. **禁用TLS 1.1**
   ```nginx
   ssl_protocols TLSv1.2 TLSv1.3;
   ```

2. **启用OCSP Stapling**（可选）
   ```nginx
   ssl_stapling on;
   ssl_stapling_verify on;
   ssl_trusted_certificate /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem;
   ```

3. **定期检查证书有效期**
   - 设置提醒，到期前30天续期

---

## 十二、故障排查

### 常见问题

#### 1. HTTPS无法访问

**检查步骤：**
```bash
# 1. 检查443端口是否监听
netstat -tlnp | grep :443

# 2. 检查nginx是否运行
ps aux | grep nginx

# 3. 检查证书文件是否存在
ls -la /www/server/panel/vhost/cert/101.43.95.130/

# 4. 检查nginx配置
nginx -t

# 5. 检查安全组
# 登录腾讯云控制台，检查安全组443端口是否开放
```

#### 2. 证书过期

**解决方法：**
- 按照"证书续期步骤"重新申请并部署证书

#### 3. 证书不匹配

**检查方法：**
```bash
# 验证证书域名
openssl x509 -in /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem -noout -text | grep DNS
```

---

## 十三、配置总结

### ✅ 配置完成情况

| 配置项 | 状态 | 说明 |
|--------|------|------|
| **系统nginx** | ✅ 已停止 | 不再使用 |
| **宝塔nginx** | ✅ 正常运行 | 主进程运行中 |
| **网站SSL证书** | ✅ 已配置 | 有效期至2026-04-27 |
| **面板SSL证书** | ✅ 已生成 | 有效期至2027-01-28 |
| **80端口** | ✅ 正常监听 | HTTP访问正常 |
| **443端口** | ✅ 正常监听 | HTTPS访问正常 |
| **HTTP访问** | ✅ 正常 | 返回200 OK |
| **HTTPS访问** | ✅ 正常 | 返回200 OK |
| **HSTS** | ✅ 已启用 | 强制HTTPS |
| **安全组** | ✅ 已配置 | 443端口已开放 |

### 📋 访问地址

| 访问方式 | 地址 | 状态 |
|---------|------|------|
| **HTTP（IP）** | http://101.43.95.130 | ✅ 正常 |
| **HTTPS（IP）** | https://101.43.95.130 | ✅ 正常 |
| **HTTPS（域名）** | https://www.ruilaizipj.com | ✅ 正常 |
| **后台登录** | https://www.ruilaizipj.com/adminghd/login | ✅ 正常 |

---

## 十四、维护计划

### 定期检查项

1. **每周检查**
   - 检查nginx服务状态
   - 检查端口监听状态

2. **每月检查**
   - 检查证书有效期
   - 检查SSL配置

3. **到期前30天**
   - 申请新证书
   - 部署新证书
   - 测试HTTPS访问

---

**文档生成时间：** 2025年1月28日  
**服务器IP：** 101.43.95.130  
**域名：** www.ruilaizipj.com  
**配置人员：** AI助手

---

## 附录：完整Nginx SSL配置

```nginx
server
{
    listen 80 default_server;
    listen 443 ssl http2  default_server;
    server_name www.ruilaizipj.com 101.43.95.130;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/code/public;
    
    #SSL-START SSL相关配置
    ssl_certificate    /www/server/panel/vhost/cert/101.43.95.130/fullchain.pem;
    ssl_certificate_key    /www/server/panel/vhost/cert/101.43.95.130/privkey.pem;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    add_header Strict-Transport-Security "max-age=31536000";
    error_page 497  https://$host$request_uri;
    #SSL-END
    
    #PHP配置
    include enable-php-56.conf;
    
    #URL重写规则
    include /www/server/panel/vhost/rewrite/101.43.95.130.conf;
    
    #静态资源缓存
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }
    
    location ~ .*\.(js|css)?$
    {
        expires      12h;
        error_log /dev/null;
        access_log /dev/null;
    }
    
    access_log  /www/wwwlogs/101.43.95.130.log;
    error_log  /www/wwwlogs/101.43.95.130.error.log;
}
```

---

**文档结束**