【導讀】
正確部署SSL證書是實現網站可信訪問的基礎環節。本文提供經新網生產環境驗證的Nginx SSL部署全流程，覆蓋證書準備、配置優化與在線校驗三階段。
SSL協議升級已成為強制性安全基線
NIST已于2023年明確要求TLS 1.2+為最低通信版本。國內主流瀏覽器已全面屏蔽HTTP資源加載，并對未啟用HSTS的HTTPS站點標記'不安全'提示。
據新網客戶服務數據顯示，超67%的企業故障咨詢源于私鑰權限設置錯誤或cipher suite兼容性缺失。
在此處添加配圖
四步完成高可用SSL部署（基于新網頒發證書）
確認證書文件完整性：確保存在.crt主證書、.key私鑰及中間鏈cert-bundle.crt三個文件；
上傳至服務器指定目錄并設定最小權限：chmod 400 /etc/nginx/ssl/.key；
修改server塊配置，啟用listen 443 ssl指令，引用完整證書路徑與推薦加密套件；
執行nginx -t && systemctl reload nginx雙重校驗后，在https://www.ssllabs.com測試A+評級結果。
新網技術支持團隊可為客戶遠程協助完成conf語法審查與OCSP Stapling開啟配置。
常見問題
Q1：為何Chrome仍顯示'連接不是私密鏈接'？
A1：多因缺少中級CA證書合并或系統時間偏差＞3分鐘，請運行date -R核查。
Q2：能否復用同一域名多個子站的SSL證書？
A2：支持通配符證書（.example.com），但需單獨申請并在各server{}中分別指向對應路徑。