太好了，你直接问到重点场景了：Nginx + HTTPS + 反向代理，这个组合是现代 Web 架构中最常见的一种部署方式。

咱们就从理论原理 → 实操配置 → 常见问题排查 → 高级玩法一层层剖开说，让你不仅能「复制粘贴部署」，还能知道「为什么这样写」。

一、你为什么需要 HTTPS + 反向代理？

简单讲：

• HTTPS： 是为了加密传输，避免中间人攻击、数据泄露，提升 SEO。
• 反向代理： 是为了隐藏你的后端服务，提高安全性、灵活性（比如负载均衡、缓存、路径转发等）。

一个标准流程长这样：

[ Client 浏览器 ]
        ↓ HTTPS
[    Nginx（SSL 终止 + 路由）    ]
        ↓ HTTP（或 Unix Socket）
[     后端服务：Node、Flask、SpringBoot等     ]

Nginx 起到的作用不仅仅是“转发”，它是个「SSL 终止器」，客户端的 HTTPS 在这就解密了，后端只处理明文 HTTP 请求，减轻了证书处理压力。

二、最小可运行的 HTTPS + 反向代理配置

Step 1: 申请证书（推荐 Let's Encrypt）

使用 Certbot 轻松搞定：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx

它会自动帮你配置 HTTPS，当然你也可以手动来。

假设你证书路径是：

• /etc/letsencrypt/live/yourdomain.com/fullchain.pem
• /etc/letsencrypt/live/yourdomain.com/privkey.pem

Step 2: 写 HTTPS 配置 + 反向代理

我们假设你后端跑在 localhost:3000，域名是 yourdomain.com。

server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate     /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        proxy_pass http://127.0.0.1:3000;

        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Step 3: HTTP 跳转到 HTTPS（强制加密）

server {
    listen 80;
    server_name yourdomain.com;

    return 301 https://$host$request_uri;
}

这个配置是让所有的 HTTP 请求自动跳转到 HTTPS，保护不够「安全意识」的用户。

三、再进阶一点：多个服务的转发

如果你是前后端分离架构：

• 前端 Vue/React 的静态文件：通过 Nginx 提供
• 后端 API：由 Nginx 转发请求

你可以这么写：

server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate     /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    location / {
        root /var/www/frontend/dist;
        index index.html;
        try_files $uri $uri/ /index.html;
    }

    location /api/ {
        rewrite ^/api/(.*)$ /$1 break;
        proxy_pass http://127.0.0.1:4000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

四、一些非常关键的细节配置

1.HTTP/2 支持

listen 443 ssl http2;

HTTP/2 能大幅提升并发性能和页面加载速度。

2.SSL 安全加固

你可以加一些更严格的 SSL 配置：

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;

还可以引入 Mozilla SSL Configuration Generator 给你最安全的模板。

3.WebSocket 支持

有些后端服务使用 WebSocket，比如在线聊天服务，需要加这个头：

proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

否则 WebSocket 握手失败。

4.后端保持连接

proxy_http_version 1.1;
proxy_set_header Connection "";

这能避免因为 keep-alive 被中断导致的“502 Bad Gateway”问题。

5.文件上传 / 请求体过大限制

client_max_body_size 50M;

防止上传大文件时报 413 Request Entity Too Large。

五、HTTPS + 代理常见坑和排查方式

六、想再高级一点？上 stream 模块来转发 TCP/SSL

比如你有一个 MySQL 服务，不希望用户直接连，而是通过 Nginx 的 SSL：

stream {
    upstream mysql_upstream {
        server 127.0.0.1:3306;
    }

    server {
        listen 3307 ssl;
        proxy_pass mysql_upstream;

        ssl_certificate     /etc/ssl/certs/nginx.crt;
        ssl_certificate_key /etc/ssl/private/nginx.key;
    }
}

这能让你把任何 TCP 服务包装成 SSL 安全通道。

七、全自动 HTTPS 配置（脚本化运维）

你可以写个 deploy.sh 自动部署新服务、生成配置文件、申请证书并 reload Nginx：

#!/bin/bash

DOMAIN=$1
PORT=$2

CONF_PATH="/etc/nginx/conf.d/${DOMAIN}.conf"

sudo apt install certbot python3-certbot-nginx nginx -y

cat > $CONF_PATH <<EOF
server {
    listen 80;
    server_name ${DOMAIN};
    return 301 https://${DOMAIN}\$request_uri;
}

server {
    listen 443 ssl http2;
    server_name ${DOMAIN};

    ssl_certificate     /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;

    location / {
        proxy_pass http://127.0.0.1:${PORT};
        proxy_http_version 1.1;
        proxy_set_header Host \$host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto \$scheme;
    }
}
EOF

certbot --nginx -d ${DOMAIN}
nginx -t && systemctl reload nginx

总结

今天的分享就到这里，如果你觉得对你有所帮助的话，不妨关注+点赞一下，你的点赞是我更新的动力。