— Nginx

Installera SSL på
Nginx

Komplett guide för Nginx — server-block, OCSP stapling, HTTP/2, HTTP/3 och hård TLS 1.3-konfiguration som ger A+ på SSL Labs.

Nginx är den mest använda webbservern för moderna sajter. Den här guiden visar hur du installerar ett SSL-certifikat på Nginx med en konfiguration som ger A+ på SSL Labs direkt — TLS 1.3, OCSP stapling, HTTP/2, HSTS preload och perfect forward secrecy.

Så installerar du steg för steg

Generera CSR och privat nyckel

Skapa nyckel + CSR med OpenSSL:

sudo mkdir -p /etc/nginx/ssl
sudo openssl req -new -newkey rsa:2048 -nodes \
  -keyout /etc/nginx/ssl/dittforetag.key \
  -out /etc/nginx/ssl/dittforetag.csr \
  -subj "/C=SE/O=Ditt Företag AB/CN=www.dittforetag.se"

Bygg fullchain.pem

När du fått certifikatet från CA, kombinera ditt cert + intermediate-bundle till en fullchain-fil (i exakt denna ordning):

cat dittforetag.crt intermediate.crt > /etc/nginx/ssl/fullchain.pem
sudo chmod 644 /etc/nginx/ssl/fullchain.pem
sudo chmod 600 /etc/nginx/ssl/dittforetag.key

Skapa server-blocket

Lägg upp /etc/nginx/sites-available/dittforetag:

server {
    listen 80;
    listen [::]:80;
    server_name dittforetag.se www.dittforetag.se;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name dittforetag.se www.dittforetag.se;
    root /var/www/dittforetag;

    ssl_certificate     /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/dittforetag.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/intermediate.crt;
    resolver 1.1.1.1 8.8.8.8 valid=300s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    add_header X-Frame-Options DENY always;
    add_header X-Content-Type-Options nosniff always;
}

Aktivera siten och reloada

Skapa symlink, testa och reloada:

sudo ln -s /etc/nginx/sites-available/dittforetag /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx

Aktivera HTTP/3 (valfritt)

Kräver Nginx 1.25+ med QUIC-modulen. Lägg till på listen-raden:

listen 443 quic reuseport;
listen 443 ssl http2;
add_header Alt-Svc 'h3=":443"; ma=86400' always;

06
Testa och övervaka
Skanna på /ssl-test — målet är A+, TLS 1.3, OCSP stapling, HSTS preload-redo.

Vanliga frågor

Vilken Nginx-version krävs för TLS 1.3?

Nginx 1.13.0 eller senare, kompilerad mot OpenSSL 1.1.1+. Alla moderna distributioner (Ubuntu 20.04+, Debian 11+, Alpine 3.14+) har detta som standard.

Skillnaden mellan ssl_certificate och ssl_trusted_certificate?

ssl_certificate ska innehålla ditt domäncertifikat + hela CA-kedjan i en fil (fullchain.pem). ssl_trusted_certificate används endast för OCSP stapling-verifiering — pekar på rot- + intermediate-certifikat.

Hur aktiverar jag HTTP/2 och HTTP/3 i Nginx?

HTTP/2: lägg till 'http2' efter ssl på listen-raden. HTTP/3 (QUIC): kräver Nginx 1.25+ med --with-http_v3_module — lägg till 'listen 443 quic reuseport' och Alt-Svc-headern.

Vad är OCSP stapling i Nginx?

Aktiveras med ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/ca.pem; resolver 1.1.1.1 valid=300s; — minskar latens vid TLS-handshake.

Hur testar jag Nginx-konfigurationen?

Kör 'nginx -t'. Endast om resultatet är 'syntax is ok' och 'test is successful' ska du köra 'systemctl reload nginx'.

Läs vidare

Vill du att vi installerar åt dig?

Vi installerar och konfigurerar ditt SSL-certifikat på din miljö — du behöver inte röra något själv. Ingår utan extra kostnad vid köp.

Be om hjälp Ring 08-400 274 60

Svensk teknisk support
Installation ingår
Övervakning & utgångsalert
Auto-förnyelse via ACME

Installera SSL påNginx