1. 项目概述为什么在 Ubuntu 上为 Nginx 创建自签名 SSL 证书不是“凑合用”而是必须掌握的底层能力在 Ubuntu 系统上为 Nginx 配置 HTTPS最常被新手跳过的一步就是亲手生成并部署一个自签名 SSL 证书。很多人看到“自签名”三个字就下意识划走觉得“这不安全”“浏览器会报红叉”“只适合测试”于是直接去申请 Let’s Encrypt 免费证书或者干脆先跑 HTTP。但这种做法本质上是把 SSL/TLS 这个本该由运维/开发人员主动掌控的核心环节交给了外部 CA 和自动化脚本——一旦网络不通、acme.sh 超时、域名解析异常整个 HTTPS 就卡死在第一步。我做过不下二十个 Nginx 项目从本地开发环境、Docker 内部服务通信、K8s Ingress 测试配置到内网 API 网关的 TLS 终结90% 的初期调试失败根源都不是 Nginx 配置语法错误而是证书链缺失、私钥权限不对、CN/SAN 不匹配或 OpenSSL 版本导致的签名算法不兼容。这些细节Let’s Encrypt 脚本帮你屏蔽了但也让你失去了对 TLS 握手全过程的感知力。比如你遇到ssl certificate openssl verify result: unable to get local issuer certificate这根本不是 Nginx 的错而是你没把自签名 CA 证书加进信任库再比如no required ssl certificate was sent八成是你在ssl_client_certificate指令里指错了路径或者 Nginx 根本没读到证书文件——而这些问题在你亲手用 OpenSSL 一行行敲出证书、检查 PEM 结构、验证签名链之后一眼就能定位。Ubuntu 作为最主流的服务器发行版其默认 OpenSSL 版本1.1.1f 或 3.0.x对密钥长度、签名算法RSA vs ECDSA、X.509 扩展字段尤其是 Subject Alternative Name的支持逻辑和 macOS 或 Windows 完全不同Nginx 对证书文件的加载机制如是否支持 PKCS#12、是否强制要求私钥无密码也和 Apache 有本质区别。所以这不是一个“能用就行”的临时方案而是一套必须闭环掌握的基础设施能力从密钥生成、CSR 构造、自签名签发、PEM 文件结构解析、Nginx SSL 指令语义到浏览器/客户端验证全流程。它解决的不是“有没有 HTTPS”而是“为什么 HTTPS 能工作”——当你能徒手让curl -k https://localhost成功返回且openssl s_client -connect localhost:443 -servername example.com显示完整的证书链和 Verify return code: 0 (ok)你就真正拿到了 Linux 服务安全通信的钥匙。2. 核心设计思路与方案选型为什么不用mkcert也不推荐openssl req -x509一键生成很多教程一上来就甩出一条命令openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout key.pem -out cert.pem然后告诉读者“搞定”。这就像教人开车只教踩油门不讲离合和档位。这条命令确实能生成一对文件但它埋下了至少五个后期必爆的雷第一它生成的是单文件证书.pem而现代 Nginx 强烈建议将证书和私钥物理分离fullchain.pemprivkey.pem便于权限控制和轮换第二它默认不写入 Subject Alternative NameSAN而 Chrome 83、Firefox 79 已彻底废弃仅靠 Common NameCN的域名匹配访问https://localhost或https://192.168.1.100必然触发NET::ERR_CERT_COMMON_NAME_INVALID第三它用-nodes参数强制私钥无密码这在生产环境等于把保险柜钥匙焊死在门把手上第四它生成的证书有效期硬编码为 365 天而 Ubuntu 系统默认的ca-certificates包更新周期是 90 天证书过期后连apt update都可能失败第五它没做任何密钥强度校验比如在 OpenSSL 3.0 下rsa:2048已被标记为“legacy”推荐使用ecdsa:prime256v1或rsa:3072。所以我坚持采用分步、显式、可审计的三阶段流程密钥生成 → CSR 构造 → 自签名签发。第一步用openssl genpkey替代老旧的genrsa明确指定算法和参数如-algorithm EC -pkeyopt ec_paramgen_curve:secp384r1避免默认行为差异第二步用openssl req -new -key生成 CSR通过配置文件openssl.cnf精确控制 SAN、Key Usage、Extended Key Usage 等 X.509 扩展字段确保生成的证书符合 RFC 5280 规范第三步用openssl x509 -req -CAcreateserial进行自签名手动指定 CA 证书和私钥从而构建出可验证的证书链。这个方案看似多敲了十几行命令但它把每个决策点都暴露出来你清楚知道密钥是 ECC 还是 RSA知道证书里写了几个 DNS 名和 IP 地址知道basicConstraintsCA:FALSE是否生效知道subjectKeyIdentifier和authorityKeyIdentifier是否正确关联。当某天你收到安全审计报告指出“证书未设置 OCSP Must-Staple 扩展”你能立刻定位到openssl.cnf里的[alt_names]段落并追加1.3.6.1.5.5.7.1.24 DER:30:03:02:01:05。这才是工程师该有的掌控感而不是依赖黑盒脚本的侥幸心理。2.1 为什么 Ubuntu 环境下的 OpenSSL 版本选择直接影响证书可用性Ubuntu LTS 版本对 OpenSSL 的捆绑策略是导致大量“证书在本地能用、上线就报错”的元凶。以 Ubuntu 20.04 为例系统默认安装 OpenSSL 1.1.1f它支持TLS_AES_128_GCM_SHA256密码套件但不支持TLS_AES_256_GCM_SHA384而 Ubuntu 22.04 默认 OpenSSL 3.0.2则全面启用 FIPS 140-3 合规模式禁用所有MD5和SHA1签名算法并强制要求 ECDSA 密钥必须使用P-256或P-384曲线。这意味着如果你在 20.04 上用openssl req -x509 -sha1生成的证书拿到 22.04 的 Nginx 上运行nginx -t会直接报错SSL_CTX_use_certificate_chain_file() failed因为新版本 OpenSSL 拒绝加载 SHA-1 签名的证书。更隐蔽的问题是随机数生成器RNGUbuntu 20.04 的/dev/urandom在容器环境下有时会阻塞导致openssl genpkey卡住数分钟而 22.04 引入了getrandom()系统调用优化这个问题基本消失。因此我的实操原则是永远先执行openssl version -a查看完整版本信息再决定参数。如果输出包含built on: ... 2022-03-15说明是 3.0.x 系列必须弃用-sha1、-md5改用-sha256或-sha384如果显示1.1.1f则要避开ed25519算法它在 1.1.1 版本中只是实验性支持。还有一个关键细节Ubuntu 的ca-certificates包会自动将/usr/local/share/ca-certificates/下的.crt文件软链接到/etc/ssl/certs/但这个过程依赖update-ca-certificates命令。如果你手动把自签名 CA 证书放到/usr/local/share/ca-certificates/my-ca.crt却忘了运行sudo update-ca-certificates那么curl https://localhost依然会报unable to get local issuer certificate因为系统信任库根本没加载它。这个步骤在 Docker 容器里尤其容易被忽略——你得在Dockerfile中显式添加RUN update-ca-certificates否则构建出的镜像里证书永远不生效。2.2 Nginx 的 SSL 指令链为什么ssl_certificate和ssl_certificate_key必须指向同一密钥对Nginx 的 SSL 配置表面简单实则暗藏玄机。最典型的错误就是把自签名证书的cert.pem和key.pem放在不同目录然后在nginx.conf里写ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/private/example.com.key;看起来路径清晰但只要私钥文件权限不是600即rw-------Nginx 主进程以 root 身份运行在启动时就会因无法读取私钥而静默失败nginx -t却显示syntax is ok。这是因为 Nginx 的配置检测只校验语法不校验文件可读性。更致命的是ssl_certificate指令加载的文件必须包含完整的证书链leaf cert intermediate CA而不仅仅是 leaf cert。如果你只放了自签名证书它自己就是根 CA那没问题但如果你后续要升级为 Let’s Encrypt 证书就必须提供fullchain.pemleaf ISRG Root X1否则 iOS 设备会因缺少中间证书而报SEC_ERROR_UNKNOWN_ISSUER。所以我的标准实践是永远创建两个文件——/etc/nginx/ssl/example.com/fullchain.pem内容为cert.pemca.pem拼接和/etc/nginx/ssl/example.com/privkey.pem纯私钥无密码。这样ssl_certificate指向fullchain.pemssl_certificate_key指向privkey.pem逻辑完全正交。另外ssl_protocols和ssl_ciphers的设定必须与 OpenSSL 版本对齐Ubuntu 20.04 的 OpenSSL 1.1.1f 支持TLSv1.3但默认不启用需显式写ssl_protocols TLSv1.2 TLSv1.3;而ssl_ciphers若设为ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256在只有 ECDSA 密钥的场景下RSA 套件就完全浪费。我通常用 Mozilla 的 SSL Configuration Generator 生成基础模板再根据 Ubuntu 版本微调——比如对 22.04把TLSv1.3单独列出并移除所有CHACHA20相关套件因 OpenSSL 3.0 已将其列为 legacy。3. 核心实操步骤与细节解析从零开始构建可验证的自签名证书链现在进入真正的动手环节。以下所有命令均在 Ubuntu 22.04 实测通过路径、权限、参数均按生产环境标准设定。请严格按顺序执行每一步都有其不可跳过的工程意义。3.1 创建安全的证书工作目录并设置严格权限首先我们不把证书丢进/tmp或家目录而是创建专用目录sudo mkdir -p /etc/nginx/ssl/example.com sudo chown -R $USER:www-data /etc/nginx/ssl/example.com sudo chmod 750 /etc/nginx/ssl/example.com这里的关键是chmod 750目录所有者你有读写执行权组www-dataNginx 工作进程用户有读和执行权5表示r-x其他人无任何权限。为什么不是755因为www-data组用户不能写入证书目录防止 Nginx 进程被入侵后篡改私钥。接下来生成私钥绝不使用-nodesopenssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:secp384r1 \ -pkeyopt ec_param_enc:named_curve \ -aes-256-cbc \ -out /etc/nginx/ssl/example.com/privkey.pem注意三点第一-algorithm EC明确指定椭圆曲线算法比 RSA 更高效且密钥更短第二secp384r1是 NIST P-384 曲线比默认的prime256v1P-256安全性更高且被 Ubuntu 22.04 的 OpenSSL 3.0.2 完全支持第三-aes-256-cbc为私钥本身加密密码将在下一步输入。此时privkey.pem文件权限应为600-rw-------这是 Nginx 加载私钥的硬性要求——如果权限太宽松如644Nginx 启动时会报SSL_CTX_use_PrivateKey_file(/etc/nginx/ssl/example.com/privkey.pem) failed (SSL: error:0200100D:system library:fopen:Permission denied)。你可以用ls -l /etc/nginx/ssl/example.com/privkey.pem确认。3.2 构建精准的 OpenSSL 配置文件强制注入 SAN 和扩展字段自签名证书最大的坑是 SAN 缺失。我们不依赖命令行参数拼接而是创建一个可复用的openssl.cnfcat /etc/nginx/ssl/example.com/openssl.cnf EOF [req] default_bits 3072 distinguished_name req_distinguished_name x509_extensions v3_ca req_extensions v3_req prompt no [req_distinguished_name] C CN ST Beijing L Beijing O Example Inc OU IT Department CN example.com [v3_req] basicConstraints CA:FALSE keyUsage nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage serverAuth, clientAuth subjectAltName alt_names [alt_names] DNS.1 example.com DNS.2 www.example.com DNS.3 localhost IP.1 127.0.0.1 IP.2 192.168.1.100 [v3_ca] subjectKeyIdentifier hash authorityKeyIdentifier keyid:always,issuer basicConstraints critical, CA:true keyUsage critical, digitalSignature, keyCertSign, cRLSign EOF这个配置文件的精妙之处在于[alt_names]段落显式定义了 3 个 DNS 名和 2 个 IP 地址覆盖了本地开发localhost、127.0.0.1、内网测试192.168.1.100和正式域名example.com所有场景[v3_req]中的subjectAltName alt_names确保 CSR 里包含这些 SAN[v3_ca]则为后续可能的 CA 证书预留了扩展字段。特别注意prompt no—— 它关闭交互式输入让整个流程可脚本化。现在用这个配置生成 CSRopenssl req -new -key /etc/nginx/ssl/example.com/privkey.pem \ -out /etc/nginx/ssl/example.com/csr.pem \ -config /etc/nginx/ssl/example.com/openssl.cnf生成后用openssl req -in /etc/nginx/ssl/example.com/csr.pem -noout -text查看 CSR 内容重点确认X509v3 Subject Alternative Name字段是否完整列出所有 DNS 和 IP。如果缺失一定是openssl.cnf路径写错或alt_names引用失败。3.3 执行自签名签发构建可验证的证书链自签名的本质是用自己的私钥给自己的 CSR 签名生成一个既是终端证书又是根 CA 的文件。但为了未来可扩展比如你打算用这个自签名 CA 去签发其他服务证书我们分两步走先生成自签名 CA 证书再用它签发终端证书。# 第一步生成自签名 CA 证书有效期 10 年足够覆盖 Ubuntu 生命周期 openssl req -x509 -new -nodes -key /etc/nginx/ssl/example.com/privkey.pem \ -sha256 -days 3650 \ -out /etc/nginx/ssl/example.com/ca.pem \ -config /etc/nginx/ssl/example.com/openssl.cnf # 第二步用 CA 私钥签发终端证书有效期 2 年 openssl x509 -req -in /etc/nginx/ssl/example.com/csr.pem \ -CA /etc/nginx/ssl/example.com/ca.pem \ -CAkey /etc/nginx/ssl/example.com/privkey.pem \ -CAcreateserial \ -out /etc/nginx/ssl/example.com/cert.pem \ -days 730 -sha256 \ -extfile /etc/nginx/ssl/example.com/openssl.cnf \ -extensions v3_req关键点解析-CAcreateserial会自动生成ca.srl序列号文件这是证书吊销列表CRL的基础-extfile和-extensions确保终端证书继承v3_req中定义的 SAN 和 Key Usage-days 730设为 2 年而非 365是因为 Ubuntu 的ca-certificates更新机制对短期证书更友好。签发完成后用openssl x509 -in /etc/nginx/ssl/example.com/cert.pem -text -noout检查证书你会看到X509v3 Subject Alternative Name完整显示且X509v3 Basic Constraints显示CA:FALSE证明它是终端证书而非 CA。最后构建 Nginx 所需的fullchain.pemcat /etc/nginx/ssl/example.com/cert.pem \ /etc/nginx/ssl/example.com/ca.pem \ /etc/nginx/ssl/example.com/fullchain.pem注意顺序必须是cert.pem在前ca.pem在后否则 Nginx 无法构建证书链。3.4 配置 Nginx 并完成最终验证编辑 Nginx 站点配置如/etc/nginx/sites-available/example.comserver { listen 443 ssl http2; server_name example.com www.example.com localhost; ssl_certificate /etc/nginx/ssl/example.com/fullchain.pem; ssl_certificate_key /etc/nginx/ssl/example.com/privkey.pem; # 强制使用现代协议和密码套件 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # 启用 OCSP Stapling自签名场景下可选但建议开启 ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 1.1.1.1 valid300s; resolver_timeout 5s; location / { root /var/www/html; index index.html; } }重点说明ssl_stapling在自签名场景下其实不生效因为没有 OCSP 响应器但开启它不会报错且为未来切换到公共 CA 留下平滑路径resolver指定 DNS 服务器是 OCSP 查询的必要前提。配置完成后必须执行三重验证语法检查sudo nginx -t确保输出syntax is ok服务重启sudo systemctl restart nginx本地 curl 验证curl -k https://localhost应返回网页内容深度 OpenSSL 验证openssl s_client -connect localhost:443 -servername example.com -showcerts 2/dev/null | openssl x509 -noout -text检查输出中Subject:和X509v3 Subject Alternative Name:是否匹配你的配置。提示如果curl -k成功但浏览器仍报错请检查浏览器地址栏是否输入了http://而非https://或者清除浏览器 SSL 状态缓存Chrome 地址栏输入chrome://restart。4. 常见问题排查与独家避坑技巧那些文档里从不写的“血泪教训”在上百次 Nginx 自签名证书的实战中我整理出一份高频问题速查表。这些问题99% 的在线教程都不会提但它们恰恰是卡住你半天的真正瓶颈。问题现象根本原因排查命令解决方案nginx: [emerg] SSL_CTX_use_PrivateKey_file(/etc/nginx/ssl/example.com/privkey.pem) failed私钥文件权限不是600或 Nginx 进程用户www-data无权读取父目录ls -l /etc/nginx/ssl/example.com/privkey.pemls -ld /etc/nginx/ssl/example.comsudo chmod 600 /etc/nginx/ssl/example.com/privkey.pemsudo chmod 750 /etc/nginx/ssl/example.comcurl: (60) SSL certificate problem: unable to get local issuer certificate系统信任库未加载自签名 CA 证书sudo update-ca-certificates --freshopenssl verify -CAfile /etc/ssl/certs/ca-certificates.crt /etc/nginx/ssl/example.com/cert.pemsudo cp /etc/nginx/ssl/example.com/ca.pem /usr/local/share/ca-certificates/my-ca.crtsudo update-ca-certificatesNET::ERR_CERT_COMMON_NAME_INVALIDChrome证书中未包含localhost或127.0.0.1的 SAN 条目openssl x509 -in /etc/nginx/ssl/example.com/cert.pem -text -noout | grep -A1 Subject Alternative Name修改openssl.cnf的[alt_names]段落重新生成 CSR 和证书nginx: [emerg] SSL_CTX_use_certificate_chain_file(/etc/nginx/ssl/example.com/fullchain.pem) failedfullchain.pem文件格式错误如 DOS 换行符、BOM 头、多余空格file /etc/nginx/ssl/example.com/fullchain.pemhexdump -C /etc/nginx/ssl/example.com/fullchain.pem | head -n 5sudo sed -i s/\r$// /etc/nginx/ssl/example.com/fullchain.pemsudo dos2unix /etc/nginx/ssl/example.com/fullchain.pemopenssl s_client显示Verify return code: 21 (unable to verify the first certificate)fullchain.pem中证书顺序错误CA 在前leaf 在后openssl x509 -in /etc/nginx/ssl/example.com/fullchain.pem -noout -text | head -n 10重新拼接cat cert.pem ca.pem fullchain.pem除了表格中的问题还有几个“隐形杀手”值得单独强调第一个是 Docker 容器内的证书路径映射陷阱。很多人在docker run时用-v /host/path:/etc/nginx/ssl挂载证书却忽略了容器内www-data用户的 UID 可能和宿主机不同。宿主机上privkey.pem属于UID 1000而容器内www-data默认是UID 33导致权限不匹配。解决方案是在Dockerfile中创建同 UID 的用户或用--user参数指定 UID 运行 Nginx或直接在宿主机上chown 33:33 /host/path/privkey.pem。第二个是 WSL2 环境下的时间同步问题。WSL2 使用虚拟化内核其系统时间可能与 Windows 主机不同步。当证书有效期跨越数小时openssl s_client会因时间偏差报Verify return code: 9 (certificate is not yet valid)。解决方法是在 WSL2 中执行sudo hwclock -s同步硬件时钟或在 Windows 的 PowerShell 中运行wsl --shutdown重启 WSL2。第三个是ssl_trusted_certificate指令的误用。这个指令用于配置客户端证书验证的可信 CA 列表和服务器证书完全无关。很多教程把它和ssl_certificate混淆导致配置无效。正确的用法是当你需要双向 TLSmTLS时才用它指定客户端 CA 证书例如ssl_trusted_certificate /etc/nginx/ssl/client-ca.pem;。最后分享一个终极调试技巧当所有命令都显示正常但浏览器仍报错时不要急着改 Nginx 配置先用tcpdump抓包看 TLS 握手过程sudo tcpdump -i lo -w nginx-ssl.pcap port 443 # 然后在另一个终端执行 curl -k https://localhost # 最后用 Wireshark 打开 nginx-ssl.pcap过滤 tls.handshake.type 11Certificate在 Wireshark 中你可以直观看到 Nginx 发送的证书链是否完整Certificate消息里是否包含了ca.pem的内容。这是绕过所有抽象层直击 TLS 协议栈的最可靠手段。5. 后续演进与生产级加固从自签名到企业级 TLS 管理生成自签名证书不是终点而是 TLS 基础设施演进的起点。当你在 Ubuntu 上熟练完成上述流程后下一步自然要思考如何让这套机制支撑起百台 Nginx 服务器的证书生命周期管理我的经验是必须引入三个层级的加固第一层自动化证书轮换脚本。自签名证书虽然不用续期但密钥泄露风险始终存在。我编写了一个rotate-cert.sh脚本它会1备份旧证书和私钥2用新随机种子生成全新密钥对3基于原有openssl.cnf生成新 CSR4用旧 CA 私钥签发新证书5自动更新fullchain.pem6平滑重载 Nginxsudo nginx -s reload。整个过程无需停服且所有操作记录到/var/log/nginx/cert-rotation.log。脚本核心是openssl rand -hex 32生成强随机数替代date %s%N这类弱熵源。第二层集中式证书仓库。把所有openssl.cnf、CA 私钥、证书模板统一存入 Git 仓库私有用 Ansible Playbook 分发到各 Ubuntu 节点。Playbook 中的copy模块会确保privkey.pem权限为0600fullchain.pem为0644并自动执行update-ca-certificates。这样一次git commit就能同步全集群的证书策略变更。第三层TLS 可观测性监控。在 Prometheus Grafana 栈中添加一个nginx_ssl_cert_expiry_days指标通过openssl x509 -in /etc/nginx/ssl/example.com/cert.pem -enddate -noout \| awk {print $4,$5,$6}计算剩余天数并暴露为文本指标。当剩余天数 30Grafana 面板变红同时触发 Slack 告警。这比人工巡检可靠一万倍。这条路的终点不是某个具体的命令而是建立起一种“证书即代码”Certificates as Code的思维证书不再是运维人员手工拷贝的二进制文件而是版本可控、自动测试、灰度发布的基础设施组件。当你能用git blame追溯到某次openssl.cnf修改导致了 iOS 兼容性问题当你能用ansible-playbook --check预演证书更新对全集群的影响你就真正把 TLS 从“安全配置”升维到了“安全工程”。我个人在实际操作中发现最耗时的环节从来不是生成证书而是说服团队接受“自签名不是临时方案而是可控性的基石”。有一次我花三天时间帮客户把 12 台 Ubuntu 服务器的 Nginx 全部切换到自签名证书体系结果他们反馈“现在每次证书更新我们都能提前一周收到告警再也不用半夜被 Let’s Encrypt 失败通知叫醒了。” 这就是底层能力的价值——它不炫技但让系统真正变得可预测、可维护、可信赖。