Nginx报错“SSL

在配置Nginx以支持HTTPS时,你可能会遇到各种SSL/TLS相关的错误。其中,一个比较棘手且常见的问题是Nginx日志中出现的类似 SSL_CTX_use_certificate 的错误,或者更直接地报错 certificate chain file contains too many certificates 或 invalid certificate chain file。这些错误的核心原因往往指向同一个方向:SSL证书链不完整或配置错误。本文将深入探讨这个问题的原因,并提供一套系统性的“终极修复方案”,帮助你彻底解决Nginx中的证书链问题。

理解证书链

在深入解决方法之前,理解什么是证书链至关重要。

1. 你的网站证书:这是由证书颁发机构(CA)签发给你的,用于标识你的网站身份。

2. 中间证书:现代CA很少直接用自己的根证书来签发服务器证书。出于安全考虑,他们通常会使用一个或多个中间证书。根证书通常被预装在浏览器和操作系统中,而中间证书则作为根证书和你的服务器证书之间的桥梁。

3. 证书链:在HTTPS握手过程中,服务器需要向客户端(如浏览器)提供一份完整的证书链。这份链应该包含你的网站证书,以及所有必要的中间证书,最终(可选地)可以追溯到受信任的根证书。客户端使用预装的根证书来验证整个链的有效性。

问题核心:当Nginx收到客户端的SSL握手请求时,它需要提供一个完整的证书链。如果它只提供了你的网站证书,而没有提供必要的中间证书,或者提供了错误的、过多的中间证书,客户端就可能无法验证证书链,从而导致连接失败或浏览器显示不安全警告。Nginx内部在处理这些证书时,如果发现链有问题,就可能抛出SSL_CTX_use_certificate 相关的错误。

常见错误表现

在Nginx的错误日志(通常是/var/log/nginx/error.log )中,你可能会看到类似以下信息:

  • SSL_CTX_use_certificate_file() failed (SSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed)
  • SSL_CTX_use_PrivateKey_file() failed (SSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed)
  • certificate chain file contains too many certificates
  • invalid certificate chain file
  • 或者更具体的OpenSSL错误,如 error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

这些错误都强烈暗示着证书链配置存在问题。

终极修复方案:分步排查与解决

以下是解决Nginx证书链问题的系统化步骤:

第一步:确认证书来源和类型

1. 从哪里获取的证书?你是从Let's Encrypt (ACME协议)、DigiCert、Sectigo、GlobalSign等商业CA获取的?还是自己生成了自签名证书?

2. 获取的文件有哪些? 通常,CA会提供:

  • 你的网站证书文件(例如 your_domain.crt , your_domain.pem
  • 中间证书文件(可能是单独的文件,如 intermediate.crt , chain.pem ,或者有时会合并在一起)
  • 私钥文件(例如 your_domain.key , private.key

第二步:检查Nginx配置文件

打开你的Nginx服务器块(server block)配置文件,通常位于 /etc/nginx/sites-available/ /etc/nginx/conf.d/ 目录下。找到监听443端口(或你配置的SSL端口)的 server块。

关键指令是:

  • ssl_certificate : 指向你的网站证书文件(可能包含中间证书)。
  • ssl_certificate_key : 指向你的私钥文件。

第三步:检查 ssl_certificate 文件内容

这是最关键的一步。Nginx的 ssl_certificate 指令指向的文件应该包含完整的证书链,即:

1. 你的网站证书(第一部分)

2. 所有必要的中间证书(按正确顺序排列在网站证书之后)

如何检查?

1. 打开文件:使用文本编辑器(如 nano , vim )打开 ssl_certificate 指向的文件。

2. 查看内容: 你应该能看到类似以下结构的PEM格式内容(以 -----BEGIN CERTIFICATE----- 开头,-----END CERTIFICATE----- 结尾):

1 -----BEGIN CERTIFICATE-----2 [你的网站证书内容]3 -----END CERTIFICATE-----45 -----BEGIN CERTIFICATE-----6 [第一个中间证书内容]7 -----END CERTIFICATE-----89 -----BEGIN CERTIFICATE-----10 [第二个中间证书内容,如果需要]11 -----END CERTIFICATE-----12 ...

3. 核对数量和顺序:

  • 数量:确认证书的数量是否正确。通常至少是1(你的证书)+ N(中间证书)。如果只有1个,那很可能就是链不完整。
  • 顺序: 中间证书的顺序很重要,通常需要按照CA提供的顺序排列,或者按照从你的证书 -> 直接签发你的证书的中间证书 -> 签发该中间证书的更高层中间证书 -> ... -> 根证书(可选)的顺序排列。注意:根证书通常不需要包含在服务器提供的链中,因为客户端大多已预装。

4. 与CA文档核对:最可靠的方法是查阅你获取证书时CA提供的文档或指南,它们通常会明确说明如何构建正确的证书链文件。

第四步:修正证书链文件

如果发现 ssl_certificate 文件内容不正确(缺少中间证书、顺序错误、包含过多证书等),你需要进行修正:

1. 获取正确的中间证书: 从你的CA网站或邮件中找到正确的中间证书文件。

2. 合并文件: 将你的网站证书和所有必要的中间证书按正确顺序合并到一个文件中。

  • 使用命令行(推荐):你可以使用 cat 命令将多个文件合并:
1 cat your_domain.crt intermediate1.crt intermediate2.crt > /etc/nginx/ssl/your_domain_chained.crt

然后修改Nginx配置,让 ssl_certificate 指向这个新创建的 your_domain_chained.crt 文件。

  • 手动复制粘贴: 如果你更习惯使用编辑器,可以手动将中间证书的内容复制到你的网站证书文件之后,确保格式正确(每个证书之间有空行)。

3. 确保格式正确: 确保合并后的文件是有效的PEM格式,没有多余的空行或乱码。

第五步:检查私钥匹配

虽然这通常不是链的问题,但有时配置错误也会导致类似报错。确保 ssl_certificate_key 指向的私钥文件与 ssl_certificate 文件中的网站证书是配对的。你可以使用以下命令检查:

1 openssl x509 -noout -modulus -in /etc/nginx/ssl/your_domain_chained.crt | openssl md52 openssl rsa -noout -modulus -in /etc/nginx/ssl/your_domain.key | openssl md5

如果两个命令输出的MD5值相同,则说明证书和私钥匹配。

第六步:测试Nginx配置

在修改配置文件后,务必先测试Nginx配置是否语法正确:

1 sudo nginx -t

如果 nginx -t 显示 syntax is ok test is successful ,则可以继续下一步。如果显示错误,请根据提示修正配置文件中的语法错误。

第七步:平滑重启Nginx

配置测试通过后,平滑重启Nginx以应用更改:

1 sudo systemctl reload nginx2 # 或者3 sudo systemctl restart nginx

第八步:验证效果

1. 检查Nginx日志: 查看Nginx错误日志,确认之前的 SSL_CTX_use_certificate 相关错误是否消失。

2. 使用在线工具测试: 使用如 SSL Labs' SSL Server Test 这样的在线工具扫描你的网站。它会对你的SSL配置进行全面评估,包括证书链的完整性。目标是获得一个“完全”(A+)或至少“良好”(A)的评分,并且报告中不应有关于证书链的错误。

3. 浏览器访问:在浏览器中访问你的网站,检查地址栏是否显示安全锁标志,没有不安全或证书错误的警告。

特殊情况:Let's Encrypt (ACME) 证书

如果你使用的是Let's Encrypt证书(通常通过Certbot等工具获取),情况略有不同:

1. Certbot通常自动处理链: 大多数Certbot插件(如 certbot-nginx )在安装证书时会自动将必要的中间证书合并到 fullchain.pem 文件中。Nginx配置通常会自动使用 fullchain.pem 作为 ssl_certificate ,并使用 privkey.pem 作为 ssl_certificate_key

2. 如果仍然有问题:

  • 确认Certbot是否成功运行并更新了证书文件。
  • 检查Nginx配置是否确实指向了 fullchain.pem privkey.pem
  • 有时需要运行 sudo certbot renew --dry-run 进行一次  dry run 测试,或者直接 sudo certbot renew 强制更新证书。
  • 确保Nginx有读取这些文件的权限。

遵循这些步骤,你应该能够彻底解决Nginx中的证书链问题,确保你的网站能够提供安全、可靠的HTTPS连接。记住,保持证书和中间证书的更新同样重要,尤其是在使用Let's Encrypt等短期证书时。


Dogssl.cn拥有20年网络安全服务经验,提供构涵盖国际CA机构SectigoDigicertGeoTrustGlobalSign,以及国内CA机构CFCA沃通vTrus上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务,如您有SSL证书需求,欢迎联系!

26662 人参与
时间:2025-05-20 05:06:33