Debian LNMP环境下安装SSL证书指南

在Debian系统上为LNMP（Linux+Nginx+MySQL+PHP）环境安装SSL证书，主要分为获取证书、配置Nginx使用SSL、（可选）配置MySQL/PHP支持SSL三大步骤。以下是详细操作流程：

一、准备工作

确保系统已安装LNMP基础组件（Nginx、MySQL、PHP），若未安装可通过以下命令快速部署：

sudo apt update sudo apt install nginx mysql-server php libapache2-mod-php php-mysql 

安装完成后，启动并启用Nginx、MySQL服务：

sudo systemctl start nginx sudo systemctl enable nginx sudo systemctl start mysql sudo systemctl enable mysql 

二、获取SSL证书（以Let’s Encrypt免费证书为例）

1. 安装Certbot工具

Certbot是Let’s Encrypt的官方客户端，可自动化证书申请与Nginx配置：

sudo apt install certbot python3-certbot-nginx 

2. 申请并自动配置证书

运行以下命令，替换yourdomain.com为你的实际域名（需提前解析到服务器IP）：

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com 

执行过程中，Certbot会提示：

• 输入电子邮件地址（用于证书到期提醒）；
• 同意Let’s Encrypt服务条款；
• 选择是否将HTTP请求自动重定向到HTTPS（推荐开启）。

Certbot会自动完成以下操作：

• 下载证书文件（存储至/etc/letsencrypt/live/yourdomain.com/）；
• 修改Nginx配置文件（启用443端口监听、配置SSL证书路径）；
• 重启Nginx服务使配置生效。

三、手动配置Nginx使用SSL（若未使用Certbot自动配置）

若需自定义SSL配置（如调整加密协议、密码套件），可手动编辑Nginx站点配置文件：

sudo nano /etc/nginx/sites-available/yourdomain.com 

添加或修改以下内容（关键参数说明见注释）：

# HTTP监听（强制跳转HTTPS） server { listen 80; server_name yourdomain.com www.yourdomain.com; return 301 https://$host$request_uri; } # HTTPS监听（核心配置） server { listen 443 ssl; server_name yourdomain.com www.yourdomain.com; # 证书文件路径（需替换为实际路径） ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; # 引入Let's Encrypt提供的优化配置（包含推荐的协议、密码套件） include /etc/letsencrypt/options-ssl-nginx.conf; ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # 网站根目录与PHP处理 root /var/www/yourdomain.com; index index.php index.html index.htm; location / { try_files $uri $uri/ =404; } location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php7.4-fpm.sock; # 根据PHP版本调整 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } # 禁止访问.htaccess文件 location ~ /\.ht { deny all; } } 

保存文件后，创建符号链接启用站点（若未创建sites-available到sites-enabled的链接）：

sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/ 

四、验证与测试

1. 检查Nginx配置语法

sudo nginx -t 

若输出syntax is ok且test is successful，说明配置无错误。

2. 重启Nginx应用配置

sudo systemctl restart nginx 

3. 验证SSL有效性

• 浏览器访问https://yourdomain.com，确认地址栏显示锁图标（表示HTTPS连接正常）；
• 使用SSL检测工具（如SSL Labs）检查证书链、加密协议等配置是否符合安全标准。

五、配置自动续期（Let’s Encrypt证书有效期90天）

Certbot会自动创建定时任务（通常位于/etc/cron.d/certbot），定期尝试续期证书。可手动测试续期流程：

sudo certbot renew --dry-run 

若输出Congratulations, all renewals succeeded，说明自动续期配置正常。

六、（可选）配置MySQL支持SSL

若需MySQL数据库支持SSL加密连接（适用于敏感数据传输），可按以下步骤操作：

1. 生成MySQL SSL证书与密钥

sudo mkdir -p /etc/mysql/ssl sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/mysql/ssl/mysql-key.pem \ -out /etc/mysql/ssl/mysql-cert.pem 

2. 配置MySQL服务器

编辑MySQL配置文件（/etc/mysql/mysql.conf.d/mysqld.cnf），在[mysqld]部分添加：

[mysqld] ssl-ca=/etc/mysql/ssl/mysql-cert.pem ssl-cert=/etc/mysql/ssl/mysql-cert.pem ssl-key=/etc/mysql/ssl/mysql-key.pem 

3. 重启MySQL服务

sudo systemctl restart mysql 

4. 验证MySQL SSL连接

登录MySQL并检查SSL状态：

mysql -u root -p --ssl-mode=REQUIRED 

执行以下SQL语句，若have_ssl值为YES，则表示配置成功：

SHOW VARIABLES LIKE '%ssl%'; 

七、（可选）配置PHP支持SSL

PHP应用（如WordPress、Laravel）需确保能处理HTTPS请求，可通过以下方式配置：

1. 强制PHP-FPM监听Unix Socket（默认已支持SSL）

编辑PHP-FPM配置文件（/etc/php/7.4/fpm/pool.d/www.conf），确保listen指令为Socket模式：

listen = /run/php/php7.4-fpm.sock 

重启PHP-FPM服务：

sudo systemctl restart php7.4-fpm 

2. 在PHP代码中检查HTTPS

在应用入口文件（如index.php）顶部添加以下代码，强制跳转HTTP到HTTPS：

if ($_SERVER['HTTPS'] != "on") { $redirect = "https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']; header("Location: $redirect"); exit(); } 

通过以上步骤，Debian LNMP环境即可完成SSL证书安装与配置，实现网站与数据库的HTTPS加密传输。