Nginx作为一款高性能的Web服务器和反向代理服务器，被广泛应用于各类网站和应用服务中。为了确保数据在网络传输过程中的安全性，防止信息被窃取或篡改，为Nginx服务器配置SSL证书实现HTTPS访问至关重要。尤其是在反向代理场景下，正确配置IP SSL证书不仅能保障客户端与Nginx服务器之间的通信安全，还能保证Nginx服务器与后端真实服务器之间的安全交互。本文将通过详细的实战步骤，为你带来Nginx服务器在反向代理场景下的IP SSL证书配置指南。

一、 理解场景与需求

在反向代理场景中，Nginx通常位于客户端和后端服务器之间。客户端直接连接Nginx的IP地址（可能是公网IP或内网IP），Nginx负责处理SSL/TLS握手、解密请求，然后将请求转发给后端服务器，并代理后端服务器的响应返回给客户端。

当需要为Nginx监听的IP地址配置SSL证书时，意味着SSL终止发生在Nginx层面。这要求SSL证书的公用名（CN）或主题备用名称（ SAN）中包含Nginx服务器的IP地址，而不是域名。

二、 准备工作

1. 获取IP SSL证书

• 自签名证书： 适用于测试环境或内部网络。你可以使用OpenSSL等工具自行生成。
• CA签发证书： 对于生产环境，强烈建议从受信任的证书颁发机构（CA）获取IP SSL证书。并非所有CA都提供IP地址证书，且申请流程可能与域名证书不同，可能需要额外的验证步骤。选择支持IP证书的CA（如 Sectigo, DigiCert 等）。

2. Nginx安装与基本配置： 确保你的服务器上已安装Nginx，并具备基本的配置能力。

3. 服务器访问权限： 需要对服务器有管理员权限，以便安装证书文件和修改Nginx配置。

4. 防火墙规则： 确保服务器的IP地址对目标HTTPS端口（通常是443）的入站流量已开放。

三、 实战配置步骤

假设：

• Nginx服务器的IP地址为 192.168.1.100
• 获取的IP SSL证书文件为 server.crt
• 获取的私钥文件为 server.key
• （如果证书是PEM格式，可能还包含CA链证书 ca_bundle.crt ）

1. 上传证书文件

将 server.crt , server.key 以及可能的 ca_bundle.crt 文件上传到Nginx服务器上的一个安全目录，例如 /etc/nginx/ssl/ 。创建该目录（如果不存在）：

1 sudo mkdir -p /etc/nginx/ssl
2 sudo chown -R root:root /etc/nginx/ssl
3 sudo chmod -R 600 /etc/nginx/ssl/*

注意：权限设置很重要，私钥文件应仅允许Nginx用户或root读取。

2. 配置Nginx反向代理

编辑你的Nginx配置文件（通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/ 目录下的某个文件）。你需要创建或修改一个server块，用于监听IP地址和443端口，并配置SSL。

1 server {
2     listen 192.168.1.100:443 ssl; # 监听特定IP的443端口
3     server_name _; # 对于IP监听，server_name通常设为下划线或留空
4
5     # SSL配置
6     ssl_certificate /etc/nginx/ssl/server.crt; # 指定证书文件路径
7     ssl_certificate_key /etc/nginx/ssl/server.key; # 指定私钥文件路径
8     ssl_trusted_certificate /etc/nginx/ssl/ca_bundle.crt; # 如果有CA链证书，指定路径
9
10   # SSL协议和密码套件配置（推荐使用现代、安全的配置）
11   ssl_protocols TLSv1.2 TLSv1.3;
12   ssl_prefer_server_ciphers on;
13   ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
14
15   # 反向代理配置
16   location / {
17         proxy_pass http://backend_server; # 替换为你的后端服务器地址
18         proxy_set_header Host $host; # 将原始Host头传递给后端
19         proxy_set_header X-Real-IP $remote_addr; # 将客户端真实IP传递给后端
20         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 构建客户端IP列表传递给后端
21         proxy_set_header X-Forwarded-Proto $scheme; # 将原始协议（http/https）传递给后端
22     }
23
24    # 可选：配置HSTS (HTTP Strict Transport Security)
25    # add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
26 }

• listen 192.168.1.100:443 ssl; : 这是关键，明确指定Nginx监听哪个IP地址和端口，并启用SSL。
• server_name _; : 对于直接IP访问， server_name 指令通常不需要特定值，使用下划线 _ 或留空表示匹配所有名称（但结合IP监听，实际匹配的就是该IP）。
• ssl_certificate 和 ssl_certificate_key : 指向你上传的证书和私钥文件。
• ssl_trusted_certificate : 如果你的证书是分开的PEM文件，包含服务器证书和CA链证书，可以指定这个选项。
• location / { ... } : 定义反向代理规则，将所有请求转发到后端服务器。 proxy_set_header 指令对于反向代理至关重要，确保后端能获取到客户端的真实信息。
• 安全提示： 请根据你的实际安全策略调整 ssl_protocols 和 ssl_ciphers 。建议参考Nginx官方文档或安全社区推荐的最佳实践。

3. 测试Nginx配置

在修改配置文件后，务必先测试语法是否正确：

1 sudo nginx -t

如果输出显示 syntax is ok 和 test is successful ，则配置语法正确。

4. 重新加载或重启Nginx

测试通过后，使配置生效：

1 sudo systemctl reload nginx
2 # 或者
3 sudo systemctl restart nginx

四、 验证与排错

1. 浏览器访问： 打开浏览器，访问 https://192.168.1.100 。你应该能看到一个有效的SSL连接（浏览器地址栏显示挂锁图标），并且没有证书错误（如果是自签名证书，浏览器会警告，但连接本身是加密的）。

2. 检查证书信息： 使用在线SSL检查工具（如 SSL Labs' SSL Test）或命令行工具（如 openssl s_client -connect 192.168.1.100:443 -showcerts ）检查Nginx是否正确加载并展示了你的IP SSL证书。

3. 检查后端日志： 查看后端服务器的访问日志和错误日志，确认请求是否成功转发，并且 $remote_addr 或 $http_x_forwarded_for 头是否正确显示了客户端的真实IP地址。

4. 常见问题

• 证书错误： 确保证书文件路径正确，私钥与证书匹配，并且证书确实包含该IP地址。检查CA链是否完整（如果需要）。
• 连接拒绝： 检查防火墙是否允许443端口访问，Nginx是否真的在监听该IP和端口（ sudo netstat -tulnp | grep nginx 或 sudo ss -tulnp | grep nginx ）。
• 后端无法获取真实IP： 确认 proxy_set_header X-Real-IP $remote_addr; 和 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 配置正确。
• HSTS问题： 如果配置了HSTS，确保在部署完全正确之前不要启用，或者在测试环境中使用较短的 max-age 。

五、 安全加固建议

• 使用强密码套件和协议： 如上配置示例所示，禁用旧协议（SSLv3, TLSv1, TLSv1.1）和弱密码套件。
• 定期更新证书： SSL证书有有效期，确保在过期前续期。
• 保护私钥： 严格控制私钥文件的访问权限。
• 考虑OCSP Stapling： 可以在Nginx中启用OCSP Stapling，减少客户端验证证书时的网络请求。

1 ssl_stapling on;
2 ssl_stapling_verify on;
3 ssl_trusted_certificate /etc/nginx/ssl/ca_bundle.crt; # 如果之前没有设置，这里需要指定包含CA链的文件
4 # 可能需要配置 resolver 指令指向可用的DNS服务器
5 resolver 8.8.8.8 8.8.4.4 valid=300s;

为Nginx反向代理配置IP SSL证书，主要是明确在 listen 指令中指定IP地址，并正确加载对应的证书和私钥文件。结合反向代理的 proxy_set_header 指令，可以确保安全地终止SSL连接并将请求安全地转发到后端。虽然配置相对直接，但务必仔细检查每一步，特别是在生产环境中部署前，务必进行充分的测试和验证。通过正确配置，你可以为基于IP访问的服务提供安全可靠的HTTPS连接。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!