自签生成SSL证书IIS和nginx全流程，保姆级教程。

一、IIS自签名证书生成与配置（Windows环境）

（一）生成自签名证书

1. 打开IIS管理器

• 在服务器上，点击“开始”菜单，选择“管理工具”，然后点击“Internet Information Services (IIS) 管理器”。
• 或者直接在运行窗口（快捷键Win+R）中输入inetmgr，然后按回车键。

2. 创建自签名证书

• 在IIS管理器中，确保你选择了服务器节点（即服务器名称），而不是某个具体的网站。
• 在右侧的“功能视图”中，找到“服务器证书”功能，双击它。
• 在“服务器证书”页面中，你会看到一个操作面板。点击右侧的“创建自签名证书”按钮。
• 在弹出的“创建自签名证书”对话框中，输入一个友好的名称，例如“LocalTestCert”或“MySelfSignedCert”。这个名称只是为了方便你识别这个证书，不会显示给用户。
• 点击“确定”按钮。IIS会自动创建一个自签名证书，并将其添加到服务器证书列表中。

（二）将证书绑定到网站

1. 选择需要绑定证书的网站

• 在IIS管理器中，展开服务器节点，找到并选择你想要启用HTTPS的网站。

2. 添加HTTPS绑定

• 在右侧的“操作”面板中，点击“绑定”按钮。
• 在弹出的“网站绑定”对话框中，你会看到当前网站的所有绑定信息。
• 点击“添加”按钮，以添加一个新的绑定。
• 在“添加网站绑定”对话框中：
  • 类型：选择https。
  • IP地址：通常选择所有未分配，这样无论客户端通过哪个IP地址访问，都能使用该证书。如果你的服务器有多个IP地址，并且你只想在某个特定IP上启用HTTPS，可以选择对应的IP地址。
  • 端口：输入443。这是HTTPS服务的默认端口号。如果你有特殊需求，也可以使用其他端口号，但客户端访问时需要明确指定端口号。
  • SSL证书：在下拉列表中，找到并选择你刚刚创建的自签名证书（例如“LocalTestCert”）。
• 点击“确定”按钮完成绑定。

3. 验证配置

• 在IIS管理器中，选中你刚刚配置的网站，然后点击右侧的“启动”按钮，确保网站能够正常运行。
• 打开浏览器，访问https://<你的服务器IP或域名>。由于这是一个自签名证书，浏览器会弹出安全警告，提示证书不受信任。你可以点击“高级”选项，然后选择“继续前往<你的服务器IP或域名>（不安全）”，以查看网站是否能够通过HTTPS正常访问。

---

二、Nginx自签名证书生成与配置（Linux环境）

（一）生成自签名证书

1. 安装OpenSSL

• 打开终端。
• 在大多数Linux发行版中，OpenSSL通常已经预装。如果没有安装，可以通过包管理器安装。例如：
  • 在基于Debian的系统（如Ubuntu）中：

    sudo apt update
    sudo apt install openssl
    

  • 在基于Red Hat的系统（如CentOS）中：

    sudo yum install openssl
    

2. 创建证书存储目录

• 为了方便管理，建议创建一个专门的目录来存放证书和私钥文件。例如：

  sudo mkdir -p /etc/nginx/ssl
  cd /etc/nginx/ssl
  

3. 生成私钥

• 在终端中，运行以下命令生成一个2048位的RSA私钥文件：

  sudo openssl genrsa -out server.key 2048
  

  • server.key是私钥文件的名称，你可以根据需要修改文件名。
  • 2048表示密钥长度为2048位，这是目前推荐的安全长度。你也可以选择更高（如3072位或4096位），但会增加计算开销。

4. 生成自签名证书

• 生成自签名证书时，需要填写一些信息，这些信息将嵌入到证书中。运行以下命令：

  sudo openssl req -new -x509 -days 365 -key server.key -out server.crt
  

  • -new：表示生成一个新的证书签名请求（CSR）。
  • -x509：表示直接生成自签名证书，而不是生成CSR等待CA签名。
  • -days 365：表示证书的有效期为365天。你可以根据需要调整有效期，例如-days 730表示有效期为2年。
  • -key server.key：指定私钥文件。
  • -out server.crt：指定生成的证书文件名称。

• 在执行上述命令时，系统会提示你输入一些信息：

  • Country Name (2 letter code)：国家代码，例如CN（中国）、US（美国）。
  • State or Province Name：省份或州的名称，例如Beijing。
  • Locality Name：城市名称，例如Beijing。
  • Organization Name：组织名称，例如My Company。
  • Organizational Unit Name：部门名称，例如IT Department。
  • Common Name (e.g. server FQDN or YOUR name)：这是最重要的字段，通常填写你的域名或服务器IP地址。例如example.com或192.168.1.100。
  • Email Address：电子邮件地址，可选。

（二）配置Nginx使用自签名证书

1. 编辑Nginx配置文件

• 打开Nginx的配置文件。默认情况下，配置文件位于/etc/nginx/nginx.conf，或者在/etc/nginx/sites-available/目录下有单独的配置文件。
• 如果你使用的是默认配置文件，可以直接编辑nginx.conf。如果使用的是虚拟主机配置文件，找到对应的文件进行编辑。例如：

  sudo nano /etc/nginx/sites-available/default
  

  或者：

  sudo nano /etc/nginx/nginx.conf
  

2. 添加HTTPS配置

• 在配置文件中，找到或创建一个server块，用于配置HTTPS服务。例如：

  server {
      listen 443 ssl;  # 监听443端口，并启用SSL
      server_name your_domain_or_ip;  # 替换为你的域名或IP地址
  
      ssl_certificate /etc/nginx/ssl/server.crt;  # 指定证书文件路径
      ssl_certificate_key /etc/nginx/ssl/server.key;  # 指定私钥文件路径
  
      # 配置网站的根目录
      root /var/www/html;
  
      # 配置默认页面
      index index.html index.htm;
  
      # 其他配置（如伪静态规则等）...
  }
  

  • listen 443 ssl;：表示监听443端口，并启用SSL。
  • server_name：填写你的域名或IP地址。如果需要支持多个域名，可以用空格分隔，例如server_name example.com www.example.com。
  • ssl_certificate：指定证书文件的路径。
  • ssl_certificate_key：指定私钥文件的路径。
  • root和index：根据你的网站实际情况配置网站的根目录和默认页面。

3. 测试配置文件

• 在终端中运行以下命令，检查Nginx配置文件是否有语法错误：

  sudo nginx -t
  

  • 如果配置文件没有问题，你会看到类似以下的输出：

    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful
    

  • 如果有错误，根据提示信息修复配置文件中的错误。

4. 重启Nginx服务

• 如果配置文件测试通过，运行以下命令重启Nginx服务，使配置生效：

  sudo systemctl restart nginx
  

（三）验证HTTPS访问

• 打开浏览器，访问https://。
• 由于这是一个自签名证书，浏览器会弹出安全警告，提示证书不受信任。你可以点击“高级”选项，然后选择“继续前往（不安全）”，以查看网站是否能够通过HTTPS正常访问。
• 如果一切正常，你应该能够看到你的网站内容，并且地址栏显示为https。

---

三、常见问题及解决方法

（一）证书不受信任问题

问题描述：
无论是IIS还是Nginx，使用自签名证书时，浏览器都会提示证书不受信任，用户需要手动接受证书才能访问网站。

解决方法：
虽然自签名证书在生产环境中不推荐使用，但在本地开发或测试环境中，可以通过以下方法解决证书不受信任的问题。

1. 将自签名证书添加到受信任的根证书颁发机构：

   • Windows（IIS环境）：

     1. 打开“运行”窗口（快捷键Win+R），输入certmgr.msc，然后按回车键。
     2. 在“证书管理器”中，展开“受信任的根证书颁发机构”。
     3. 右键点击“证书”，选择“所有任务” -> “导入”。
     4. 导航到IIS生成的自签名证书文件（通常是.cer格式），选择该证书并完成导入。
     5. 重新打开浏览器，访问HTTPS网站时，浏览器应该不会再提示证书不受信任。

   • Linux（Nginx环境）：

     1. 将生成的自签名证书文件（server.crt）复制到客户端机器上。
     2. 在客户端机器上，将证书文件添加到受信任的证书存储中。例如，在Ubuntu系统中，可以使用以下命令：

        sudo cp server.crt /usr/local/share/ca-certificates/
        sudo update-ca-certificates
        

     3. 重新打开浏览器，访问HTTPS网站时，浏览器应该不会再提示证书不受信任。

（二）证书绑定问题（IIS）

问题描述：
在IIS中绑定自签名证书后，访问HTTPS网站时，浏览器提示“无法显示此网页”或“连接被重置”。

解决方法：

1. 检查证书是否正确绑定：

   • 在IIS管理器中，选中网站，点击“绑定”按钮，确保HTTPS绑定的证书是正确的自签名证书。
   • 如果绑定的证书不正确，重新选择正确的证书并保存。

2. 检查防火墙设置：

   • 确保服务器的防火墙允许443端口的流量。在Windows防火墙中，打开“高级安全Windows Defender 防火墙”，检查入站规则是否允许443端口的流量。
   • 如果没有允许，创建一个新的入站规则，允许TCP端口443的流量。

3. 检查网站是否启动：

   • 在IIS管理器中，选中网站，点击“启动”按钮，确保网站处于运行状态。

4. 检查证书是否过期：

   • 在IIS管理器中，选中自签名证书，查看证书的有效期。如果证书已经过期，需要重新生成一个新的自签名证书，并重新绑定到网站。

（三）证书路径问题（Nginx）

问题描述：
在Nginx中配置自签名证书后，重启Nginx服务时，提示证书文件路径错误或证书文件不存在。

解决方法：

1. 检查证书文件路径：

   • 确保在Nginx配置文件中指定的证书文件路径是正确的。例如：

     ssl_certificate /etc/nginx/ssl/server.crt;
     ssl_certificate_key /etc/nginx/ssl/server.key;
     

   • 使用ls命令检查证书文件是否存在于指定路径下：

     ls /etc/nginx/ssl/
     

   • 如果证书文件不存在，重新生成证书文件，并确保路径正确。

2. 检查文件权限：

   • 确保Nginx进程有权限访问证书文件。运行以下命令，检查文件权限：

     ls -l /etc/nginx/ssl/
     

   • 如果权限不足，可以使用以下命令修改文件权限：

     sudo chmod 644 /etc/nginx/ssl/server.crt
     sudo chmod 640 /etc/nginx/ssl/server.key
     

3. 检查配置文件语法：

   • 使用以下命令检查Nginx配置文件是否有语法错误：

     sudo nginx -t
     

   • 如果有错误，根据提示信息修复配置文件中的错误。

（四）证书生成问题

问题描述：
在生成自签名证书时，提示错误，例如“无法找到文件”或“权限不足”。

解决方法：

1. 检查OpenSSL安装：

   • 确保OpenSSL已正确安装。运行以下命令检查OpenSSL版本：

     openssl version
     

   • 如果未安装，重新安装OpenSSL。

2. 检查命令语法：

   • 确保生成私钥和证书的命令语法正确。例如：

     openssl genrsa -out server.key 2048
     openssl req -new -x509 -days 365 -key server.key -out server.crt
     

   • 如果命令中有拼写错误或缺少参数，会导致生成失败。

3. 检查文件路径：

   • 确保生成的私钥文件和证书文件的路径是正确的。例如，如果你在/etc/nginx/ssl目录下生成证书，确保该目录存在：

     sudo mkdir -p /etc/nginx/ssl
     cd /etc/nginx/ssl
     

4. 检查权限问题：

   • 如果在生成证书时提示权限不足，可以使用sudo命令以管理员权限运行命令：

     sudo openssl genrsa -out server.key 2048
     sudo openssl req -new -x509 -days 365 -key server.key -out server.crt
     

（五）Nginx配置问题

问题描述：
在Nginx配置文件中，配置了自签名证书后，重启Nginx服务时，提示错误，例如“无法加载证书”或“证书和私钥不匹配”。

解决方法：

1. 检查证书和私钥是否匹配：

   • 确保生成的证书文件（server.crt）和私钥文件（server.key）是成对的。如果证书和私钥不匹配，会导致Nginx无法正常启动。
   • 重新生成证书和私钥文件，确保它们是成对的。

2. 检查配置文件语法：

   • 使用以下命令检查Nginx配置文件是否有语法错误：

     sudo nginx -t
     

   • 如果有错误，根据提示信息修复配置文件中的错误。

3. 检查证书文件格式：

   • 确保证书文件（server.crt）和私钥文件（server.key）是PEM格式。如果文件格式不正确，会导致Nginx无法加载证书。
   • 如果证书文件是其他格式（如DER），可以使用以下命令将其转换为PEM格式：

     openssl x509 -in server.crt -out server.pem -outform PEM
     openssl rsa -in server.key -out server.pem -outform PEM
     

4. 检查Nginx版本：

   • 确保你的Nginx版本支持SSL/TLS功能。运行以下命令检查Nginx版本：

     nginx -v
     

   • 如果版本过低，建议升级到最新版本。

---

四、高级配置建议

（一）为IIS配置更安全的SSL/TLS设置

1. 启用强加密协议：

   • 在IIS中，可以通过注册表编辑器启用更安全的加密协议（如TLS 1.2或TLS 1.3）。
   • 打开“注册表编辑器”（快捷键Win+R，输入regedit），导航到以下路径：

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
     

   • 在Protocols下，创建一个新的键值TLS 1.2（如果尚未存在），并在其下创建两个子键：
     • Client：在Client下，创建一个名为DisabledByDefault的DWORD值，将其值设置为0。
     • Server：在Server下，创建一个名为Enabled的DWORD值，将其值设置为1。

2. 禁用弱加密套件：

   • 在Protocols下，找到TLS 1.2的Server子键，创建一个新的键值CipherSuites。
   • 在CipherSuites下，创建一个名为Functions的字符串值，将其值设置为允许的加密套件列表。例如：

     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM
     

五、高级配置建议（续）

（一）为IIS配置更安全的SSL/TLS设置（续）

3. 配置证书吊销检查：

   • 证书吊销检查是确保客户端验证证书是否被吊销的重要步骤。虽然自签名证书不会被吊销，但在生产环境中，这是一个重要的安全配置。
   • 在IIS中，可以通过注册表编辑器配置证书吊销检查：
     • 打开“注册表编辑器”（快捷键Win+R，输入regedit）。
     • 导航到以下路径：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
       

     • 创建一个新的DWORD值，命名为EnableCertRevocationCheck，将其值设置为1以启用证书吊销检查。
     • 创建另一个DWORD值，命名为RevocationCheckFreshnessTime，设置为一个合理的值（以秒为单位），例如86400（一天）。

4. 配置HSTS（HTTP严格传输安全性）：

   • HSTS是一种安全策略，强制客户端使用HTTPS连接到服务器，防止中间人攻击。
   • 在IIS中，可以通过添加自定义HTTP响应头来启用HSTS：
     • 打开IIS管理器，选择网站。
     • 在右侧的“功能视图”中，双击“HTTP响应头”。
     • 在右侧的“操作”面板中，点击“添加自定义头”。
     • 输入以下信息：
       • 名称：Strict-Transport-Security
       • 值：max-age=31536000; includeSubDomains; preload（max-age表示HSTS策略的有效期，单位为秒；includeSubDomains表示该策略适用于所有子域名；preload表示将网站加入HSTS预加载列表）。
     • 点击“确定”保存设置。

5. 启用OCSP Stapling（在线证书状态协议装订）：

   • OCSP Stapling允许服务器在TLS握手过程中向客户端提供证书状态信息，而无需客户端直接查询OCSP响应器。这可以提高性能并减少延迟。
   • 在IIS中，可以通过注册表编辑器启用OCSP Stapling：
     • 打开“注册表编辑器”（快捷键Win+R，输入regedit）。
     • 导航到以下路径：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
       

     • 创建一个新的DWORD值，命名为EnableOcspStapling，将其值设置为1以启用OCSP Stapling。
     • 创建另一个DWORD值，命名为OcspStaplingCacheValidityPeriod，设置为一个合理的值（以秒为单位），例如86400（一天）。

---

（二）为Nginx配置更安全的SSL/TLS设置

1. 启用强加密协议：

   • 在Nginx配置文件中，可以通过ssl_protocols指令启用更安全的加密协议（如TLS 1.2或TLS 1.3）。
   • 编辑Nginx配置文件（例如/etc/nginx/nginx.conf或/etc/nginx/sites-available/default），在server块中添加以下配置：

     ssl_protocols TLSv1.2 TLSv1.3;
     

   • 这将禁用较旧的协议（如SSLv3和TLS 1.0），只允许使用更安全的TLS 1.2和TLS 1.3。

2. 配置强加密套件：

   • 通过ssl_ciphers指令配置强加密套件。推荐使用以下配置：

     ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
     

   • 这些加密套件提供了较高的安全性，同时兼容大多数现代浏览器。

3. 配置HSTS（HTTP严格传输安全性）：

   • 在Nginx配置文件中，可以通过add_header指令添加HSTS响应头：

     add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
     

   • 这将强制客户端使用HTTPS连接到服务器，并将网站加入HSTS预加载列表。

4. 启用OCSP Stapling：

   • 在Nginx配置文件中，可以通过ssl_stapling指令启用OCSP Stapling：

     ssl_stapling on;
     ssl_stapling_verify on;
     ssl_trusted_certificate /etc/nginx/ssl/trusted.crt;  # 替换为你的信任证书文件路径
     

   • 这将允许Nginx在TLS握手过程中向客户端提供证书状态信息，而无需客户端直接查询OCSP响应器。

5. 配置SSL会话缓存：

   • SSL会话缓存可以提高性能，减少握手次数。在Nginx配置文件中，添加以下配置：

     ssl_session_cache shared:SSL:10m;  # 10MB的共享内存用于缓存会话
     ssl_session_timeout 10m;  # 会话超时时间为10分钟
     

   • 这将启用SSL会话缓存，提高HTTPS连接的性能。

---

六、性能优化建议

（一）IIS性能优化

1. 启用SSL缓存：

   • 在IIS中，可以通过注册表编辑器启用SSL缓存，以提高性能：
     • 打开“注册表编辑器”（快捷键Win+R，输入regedit）。
     • 导航到以下路径：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
       

     • 创建一个新的DWORD值，命名为EnableSslCache，将其值设置为1以启用SSL缓存。
     • 创建另一个DWORD值，命名为SslCacheSize，设置为一个合理的值（以KB为单位），例如10240（10MB）。

2. 配置连接超时时间：

   • 在IIS管理器中，选择网站。
   • 在右侧的“功能视图”中，双击“高级设置”。
   • 在“高级设置”窗口中，找到“连接超时”选项，将其值设置为一个合理的值（以秒为单位），例如120（2分钟）。

3. 启用HTTP/2支持：

   • 在IIS中，可以通过安装HTTP/2模块来启用HTTP/2支持：
     • 打开“服务器管理器”。
     • 在“管理”菜单中，点击“添加角色和功能”。
     • 在“安装类型”页面中，选择“基于角色或基于功能的安装”。
     • 在“服务器角色”页面中，选择“Web服务器（IIS）”。
     • 在“功能”页面中，勾选“HTTP/2”功能。
     • 完成安装后，重启服务器以应用更改。

---

（二）Nginx性能优化

1. 启用HTTP/2支持：

   • 在Nginx配置文件中，可以通过listen指令启用HTTP/2支持：

     server {
         listen 443 ssl http2;
         ...
     }
     

   • 这将启用HTTP/2支持，提高网站的性能。

2. 配置TCP快速打开（TFO）：

   • TCP快速打开可以减少TCP连接的延迟。在Nginx配置文件中，可以通过以下指令启用TFO：

     tcp_nopush on;
     tcp_nodelay on;
     

   • 这将优化TCP连接的性能。

3. 启用Gzip压缩：

   • 在Nginx配置文件中，可以通过以下指令启用Gzip压缩：

     gzip on;
     gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
     

   • 这将对静态资源进行压缩，减少传输数据量，提高性能。

4. 配置缓存策略：

   • 在Nginx配置文件中，可以通过sendfile和tcp_nopush指令优化文件传输：

     sendfile on;
     tcp_nopush on;
     

   • 这将启用高效的文件传输模式，减少磁盘I/O操作。

5. 优化日志记录：

   • 在Nginx配置文件中，可以通过以下指令优化日志记录：

     access_log off;  # 关闭访问日志
     

---

六、性能优化建议（续）

（二）Nginx性能优化（续）

6. 配置日志轮转和压缩：

   • 虽然关闭访问日志可以提高性能，但在实际环境中，日志对于监控和故障排查非常重要。可以使用日志轮转工具（如logrotate）来管理日志文件的大小和数量，并对旧日志进行压缩。
   • 在Linux系统中，可以编辑/etc/logrotate.d/nginx配置文件，添加以下内容：

     /var/log/nginx/*.log {
         daily
         missingok
         rotate 7
         compress
         delaycompress
         notifempty
         create 0640 www-data adm
         sharedscripts
         postrotate
             [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
         endscript
     }
     

   • 这将配置日志每天轮转一次，保留7天的日志，旧日志会被压缩，并且在轮转后重新打开日志文件。

7. 优化连接池和并发处理：

   • Nginx的worker_processes和worker_connections参数对性能有重要影响。worker_processes通常设置为CPU核心数，而worker_connections决定了每个进程可以处理的最大连接数。
   • 在nginx.conf文件中，配置如下：

     worker_processes auto;  # 自动检测CPU核心数
     events {
         worker_connections 1024;  # 每个worker进程的最大连接数
         multi_accept on;  # 允许每个worker进程同时接受多个连接
     }
     

   • 根据服务器的硬件配置和预期负载，可以适当调整worker_connections的值。

8. 启用缓存和代理缓存：

   • 对于静态资源（如图片、CSS、JavaScript等），可以启用Nginx的缓存功能，以减少对后端服务器的请求。
   • 在nginx.conf文件中，添加以下配置：

     http {
         proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path=off;
         proxy_cache_key "$scheme$request_method$host$request_uri";
     }
     

   • 在server块中，配置代理缓存：

     location / {
         proxy_pass http://backend_server;
         proxy_cache my_cache;
         proxy_cache_valid 200 302 10m;
         proxy_cache_valid 404 1m;
         add_header X-Proxy-Cache $upstream_cache_status;
     }
     

   • 这将启用代理缓存，减少对后端服务器的请求，并提高响应速度。

---

七、高级安全配置

（一）Nginx安全配置

1. 限制访问特定IP或IP范围：

   • 在某些情况下，可能需要限制对特定资源的访问。可以在nginx.conf文件中使用allow和deny指令来实现。
   • 例如，限制对某个特定页面的访问：

     location /admin {
         allow 192.168.1.0/24;  # 允许192.168.1.0/24网段访问
         deny all;  # 禁止其他IP访问
         proxy_pass http://backend_server;
     }
     

2. 启用HTTP头部安全增强：

   • 在nginx.conf文件中，添加以下配置以增强HTTP头部的安全性：

     add_header X-Content-Type-Options "nosniff" always;
     add_header X-XSS-Protection "1; mode=block" always;
     add_header X-Frame-Options "DENY" always;
     add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self';" always;
     

   • 这些头部可以防止点击劫持、XSS攻击和内容注入攻击。

3. 配置SSL/TLS会话票证：

   • SSL会话票证（Session Tickets）可以进一步提高TLS握手的效率。在nginx.conf文件中，启用会话票证：

     ssl_session_tickets on;
     ssl_session_ticket_key /etc/nginx/ssl/session_ticket.key;
     

   • 生成会话票证密钥：

     openssl rand -out /etc/nginx/ssl/session_ticket.key 48
     

4. 启用完美前向保密（PFS）：

   • 完美前向保密可以确保即使私钥泄露，也无法解密过去的会话。在nginx.conf文件中，配置如下：

     ssl_prefer_server_ciphers on;
     ssl_ecdh_curve secp384r1;
     ssl_session_cache shared:SSL:10m;
     ssl_session_timeout 10m;
     

---

八、调试和监控

（一）Nginx日志分析

1. 启用详细的错误日志：

   • 在nginx.conf文件中，将错误日志级别设置为debug，以便捕获详细的错误信息：

     error_log /var/log/nginx/error.log debug;
     

   • 注意：debug日志级别会产生大量日志，仅在调试时使用。

2. 分析访问日志：

   • 使用日志分析工具（如goaccess、ELK Stack等）来分析Nginx的访问日志，了解流量模式、热门页面、错误请求等信息。
   • 例如，使用goaccess分析日志：

     sudo apt-get install goaccess
     goaccess /var/log/nginx/access.log -o /var/www/html/report.html --log-format=COMBINED
     

   • 这将生成一个HTML报告，可以通过浏览器访问http:///report.html查看。

3. 实时监控Nginx状态：

   • Nginx提供了stub_status模块，可以实时监控Nginx的状态。在nginx.conf文件中，添加以下配置：

     server {
         listen 80;
         location /nginx_status {
             stub_status on;
             allow 127.0.0.1;  # 仅允许本地访问
             deny all;
         }
     }
     

   • 重启Nginx后，访问http:///nginx_status，可以查看当前的连接数、请求处理状态等信息。

4. 使用Nginx Plus（可选）：

   • 如果需要更高级的监控和管理功能，可以考虑使用Nginx Plus。Nginx Plus提供了实时监控、负载均衡、高级缓存等功能。
   • Nginx Plus需要购买商业许可，但提供了更强大的功能和更好的支持。

---

九、总结

通过以上步骤，你可以为IIS和Nginx生成自签名证书，并进行详细的配置，包括安全性优化、性能提升和监控调试。虽然自签名证书在生产环境中不推荐使用，但在本地开发和测试环境中，这些步骤可以帮助你快速搭建HTTPS服务。

如果你需要在生产环境中使用SSL/TLS证书，建议购买由受信任的证书颁发机构（CA）签发的证书，以确保客户端不会收到安全警告。