aws 配置导出的SSL证书

# 1. HTTP自动重定向到HTTPS（可选但推荐）
server {
    listen 80;
    server_name your-domain.com www.your-domain.com;  # 替换为你的域名
    return 301 https://$host$request_uri;  # 强制跳转到HTTPS
}

# 2. HTTPS核心配置
server {
    listen 443 ssl http2;  # 启用SSL+HTTP2（http2可选，提升性能）
    server_name your-domain.com www.your-domain.com;  # 替换为你的域名

    # 证书文件路径（对应第一步的文件位置）
    ssl_certificate /etc/nginx/ssl/domain.crt;          # 主证书
    ssl_certificate_key /etc/nginx/ssl/domain.key;      # 解密后的私钥
    ssl_trusted_certificate /etc/nginx/ssl/chain.crt;   # 证书链（增强信任）

    # 【安全配置】禁用弱协议/加密套件（必配，避免浏览器提示不安全）
    ssl_protocols TLSv1.2 TLSv1.3;  # 仅启用TLS1.2/1.3，禁用老旧SSL/TLS
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers on;    # 优先使用服务器加密套件
    ssl_session_timeout 10m;         # 会话超时时间

    # 【可选】HSTS配置（强制浏览器长期使用HTTPS，增强安全）
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 网站根目录（替换为你的实际网站文件路径，比如/var/www/html）
    root /var/www/your-domain;
    index index.html index.php;  # 按需调整

    # 常规location配置（保持原有即可）
    location / {
        try_files $uri $uri/ =404;
    }
}

三、第三步：验证配置 + 重启 Nginx

# 1. 检查Nginx配置语法（关键！避免配置错误导致服务启动失败）
sudo nginx -t

# 若提示：nginx: configuration file /etc/nginx/nginx.conf test is successful → 配置无误
# 若报错：检查证书路径、私钥权限、配置语法（比如分号缺失）

# 2. 重启Nginx生效配置
sudo systemctl restart nginx

# 3. 确认Nginx运行状态
sudo systemctl status nginx