本文将介绍如何在 Nginx 上为你的域名安装 SSL 证书,并配置 Nginx 使用 HTTPS 安全访问。我们将使用 Let’s Encrypt 免费的 SSL 证书,通过 Certbot 生成并管理证书,然后配置 Nginx 实现 HTTPS 加密访问。同时,我们将解决因 SSL 证书导致的代码拉取问题。
一、前置准备
- 服务器:一台运行 Nginx 的服务器(如阿里云、AWS、DigitalOcean 等云服务器)。
- 域名:一个已指向服务器公网 IP 的域名(例如
gitea.example.com
)。 - 服务器访问权限:确保你有服务器的 root 权限或 sudo 用户权限。
二、安装 Certbot 和生成 SSL 证书
Certbot 是 Let’s Encrypt 提供的一个工具,用于自动生成和管理 SSL 证书。
1. 安装 Certbot
在基于 Debian/Ubuntu 的系统上,可以使用以下命令安装 Certbot 和 Nginx 插件:
sudo apt update
sudo apt install certbot python3-certbot-nginx -y
2. 使用 Certbot 生成 SSL 证书
Certbot 可以自动为你的域名生成和安装 SSL 证书。运行以下命令:
sudo certbot --nginx -d gitea.example.com
--nginx
:告诉 Certbot 自动配置 Nginx。-d
:指定需要申请证书的域名。
Certbot 会提示输入邮箱地址并同意服务条款。之后,它将自动生成 SSL 证书并更新 Nginx 配置以启用 HTTPS。
3. 验证证书安装
Certbot 完成后,你可以运行以下命令检查证书:
sudo certbot certificates
这将显示已安装证书的信息。确保域名和证书路径正确无误。
三、配置 Nginx 以启用 HTTPS
Certbot 在生成证书时会自动修改 Nginx 配置,但你可以手动优化和调整配置以满足安全性和性能的需求。以下是一个标准的 HTTPS 配置示例。
1. Nginx 配置文件
假设你的网站配置文件在 /etc/nginx/sites-available/gitea
中。打开该文件进行编辑:
# HTTPS 部分 - 配置反向代理到服务
server {
listen 443 ssl http2; # 启用 HTTP/2 支持
server_name gitea.example.com;
# SSL 配置 - Certbot 自动生成的配置
ssl_certificate /etc/letsencrypt/live/gitea.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/gitea.example.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf; # Certbot 的自动配置文件
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
# HSTS(HTTP Strict Transport Security)配置
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# 反向代理设置(代理到本地服务或其他端口)
location / {
proxy_pass http://127.0.0.1:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 超时设置
proxy_connect_timeout 60s;
proxy_read_timeout 60s;
proxy_send_timeout 60s;
}
}
# HTTP 重定向到 HTTPS
server {
listen 80;
server_name gitea.example.com;
location / {
return 301 https://$host$request_uri;
}
}
2. 配置说明
- HTTP 重定向:80 端口的 HTTP 请求将被自动重定向到 HTTPS。
- SSL 证书路径:
ssl_certificate
和ssl_certificate_key
路径指向 Certbot 生成的证书。 - HSTS 配置:
add_header Strict-Transport-Security
可以强制客户端在未来仅通过 HTTPS 访问,防止降级攻击。
3. 检查和重启 Nginx
创建软链接以启用该配置:
sudo ln -s /etc/nginx/sites-available/gitea /etc/nginx/sites-enabled/
检查 Nginx 配置是否正确:
sudo nginx -t
如果一切正常,重新加载 Nginx 配置:
sudo systemctl reload nginx
四、拉取代码时的 SSL 证书问题及解决方案
在启用了 HTTPS 后,Git 客户端可能会因 SSL 证书问题而无法克隆或拉取代码。以下是几种解决方案:
1. 使用 Let’s Encrypt 或其他受信任的证书
如果你还没有使用受信任的 SSL 证书,可以通过 Let’s Encrypt 获取免费证书,这样 Git 客户端将自动信任该证书。
2. 手动信任自签名证书(不推荐生产环境使用)
在 Windows 系统中
-
导出自签名证书:使用以下命令导出 Gitea 服务器上的自签名证书。在 Windows 中使用
<nul
替代< /dev/null
。openssl s_client -showcerts -connect gitea.example.com:443 <nul | openssl x509 -outform PEM > gitea.crt
-
在 Windows 中安装证书:双击
gitea.crt
文件,选择“安装证书”,并将其安装到 受信任的根证书颁发机构 中。
在 macOS/Linux 系统中
-
将
.crt
文件复制到/usr/local/share/ca-certificates/
目录中:sudo cp gitea.crt /usr/local/share/ca-certificates/gitea.crt
-
更新系统的 CA 证书:
sudo update-ca-certificates
3. 在 Git 配置中关闭 SSL 验证(仅限测试环境)
在特定项目中关闭 SSL 验证:
git config http.https://gitea.example.com.sslVerify "false"
4. 使用 SSH 连接
如果 Gitea 支持 SSH,可以使用 SSH 协议克隆仓库,避免 SSL 证书问题。
git clone git@gitea.example.com:username/repository.git
五、测试 HTTPS 访问
在浏览器中访问 https://gitea.example.com
,确保网站可以通过 HTTPS 正常加载。如果一切配置正确,浏览器地址栏应显示一个锁标志,表示连接已加密。
六、自动续订证书
Let’s Encrypt 证书有效期为 90 天。Certbot 已自动设置续订任务,可以通过以下命令手动测试续订:
sudo certbot renew --dry-run
七、总结
通过 Certbot 和 Nginx 配置 HTTPS 可以显著提高网站的安全性,并且 Let’s Encrypt 提供的免费证书使配置过程简单高效。按以上步骤设置后,你的站点将支持 HTTPS 安全访问,提升用户数据传输的安全性。同时,通过信任自签名证书或使用 SSH 协议,Git 客户端可以顺利地克隆和拉取代码。