如何搭建高防服务器HTTPS环境

高防服务器 HTTPS 环境搭建全流程
一 架构与前置准备
- 推荐分层架构：DDoS 高防 → Web 应用防火墙 WAF → 源站（Nginx/负载均衡）。高防负责清洗大流量攻击，WAF拦截 Web 层漏洞（SQLi、XSS 等），源站只接收正常业务流量，整体提升可用性与安全性。若使用云上产品，可在控制台完成证书与策略的统一管理。
- 证书与端口：准备可被信任的 SSL/TLS 证书（支持 TLS 1.2/1.3），域名解析指向高防/WAF 提供的 CNAME 或回源地址；确保云安全组与主机防火墙放行 TCP 80/443。如使用云负载均衡/高防/WAF，可在其控制台选择或自定义 TLS 安全策略 与加密套件。
二 获取并部署 SSL 证书
- 申请证书：选择 DV/OV/EV 类型（DV 适合个人与博客，OV/EV 适合企业身份展示），通过 CA 或平台申请；也可使用 Let’s Encrypt 自动化签发。
- 部署路径：将证书与私钥上传至服务器（如 Nginx 常用路径：/etc/nginx/cert/），证书文件通常为 fullchain.pem（含中间链）与 privkey.pem。在控制台或负载均衡/高防/WAF 上同样需要上传证书，以便边缘节点终止 TLS。
- 强制 HTTPS：在 80 端口配置 301 跳转至 443，确保所有流量走加密通道。
三 Nginx HTTPS 与安全基线配置
- 建议的最小安全配置示例（按需裁剪）：
<br>server {<br>listen 443 ssl http2;<br>server_name your-domain.com;<br>ssl_certificate /etc/nginx/cert/fullchain.pem;<br>ssl_certificate_key /etc/nginx/cert/privkey.pem;<br>ssl_trusted_certificate /etc/nginx/cert/chain.pem; # 可选，用于 OCSP stapling<br># 协议与套件：仅启用现代安全协议与强套件<br>ssl_protocols TLSv1.2 TLSv1.3;<br>ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:<br>ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:<br>ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;<br>ssl_prefer_server_ciphers on;<br># 会话复用与性能<br>ssl_session_cache shared:SSL:10m;<br>ssl_session_timeout 1d;<br>ssl_session_tickets on;<br># OCSP Stapling<br>ssl_stapling on;<br>ssl_stapling_verify on;<br>resolver 8.8.8.8 1.1.1.1 valid=300s;<br>resolver_timeout 5s;<br># 安全响应头<br>add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;<br>add_header X-Frame-Options DENY;<br>add_header X-Content-Type-Options nosniff;<br>add_header Referrer-Policy "no-referrer-when-downgrade";<br># 关闭版本暴露与目录浏览<br>server_tokens off;<br>location / { try_files $uri $uri/ =404; autoindex off; }<br># 可选：限制危险方法与速率，缓解 CC/暴力请求<br>if ($request_method !~ ^(GET|POST|HEAD)$) { return 405; }<br>limit_req_zone $binary_remote_addr zone=req:10m rate=10r/s;<br>limit_req zone=req burst=20 nodelay;<br>}<br>server {<br>listen 80;<br>server_name your-domain.com;<br>return 301 https://$host$request_uri;<br>}<br>
要点说明：启用 HTTP/2、仅允许 TLS 1.2/1.3 与 ECDHE 前向保密套件、开启 HSTS 与 OCSP Stapling、关闭版本信息与目录浏览，并配合 速率限制 抵御应用层滥用。
四 接入 DDoS 高防与 WAF 并正确识别客户端 IP
- 接入顺序与证书：在 WAF 选择 HTTPS 监听并上传证书，按需开启 HTTP/2、强制跳转、TLS 版本/套件；在 DDoS 高防 控制台完成域名接入并上传证书，可设置 TLS 安全策略 与回源方式。
- 源站保护：源站仅与 WAF/高防通信，回源建议 仅 443，并开启源站证书校验（mTLS 可选）。
- 获取真实客户端 IP：若前置 七层代理（高防/CDN/WAF），默认 WAF 读取 X-Forwarded-For 首个 IP 作为客户端源 IP。为防伪造，建议在业务侧约定将客户端 IP 放入自定义 Header（如 X-Client-IP 或 X-Real-IP），并在 WAF 中配置对应“取源 IP 的 Header 字段”。
五 测试、监控与运维
- 连通性与协议：使用 openssl s_client -connect your-domain.com:443 -servername your-domain.com 验证握手与证书链；浏览器访问确认 HTTPS 正常且无告警。
- 配置评分与漏洞：使用 Qualys SSL Labs SSL Server Test 检测协议、套件与配置强度；排查 混合内容（HTTP 资源加载）等问题。
- 证书与策略巡检：证书默认有效期不超过 13 个月，建议提前 30 天 续订；在 高防/WAF/负载均衡/CDN 控制台定期核查 TLS 版本与加密套件 策略，保持仅启用 TLS 1.2/1.3 与强套件。