个人网站配置 HTTPS 全过程记录域名:chinahanwucun.cn服务器:阿里云 ECS架构:ECS + Docker Nginx + Tomcat一、确定 HTTPS 装在哪一层?核心原则:HTTPS 证书装在"用户真正连接到的那一层"(流量入口层)。用户浏览器 │ │ 判断入口类型 ▼ ┌──────────────────────────────────────────────────────────┐ │ 有 SLB / CDN(阿里云负载均衡 / CDN) │ │ → HTTPS 证书配置在 SLB 或 CDN 控制台 │ │ → ECS 上的 Nginx 只需处理 HTTP 即可 │ ├──────────────────────────────────────────────────────────┤ │ 无 SLB,直接 ECS 对外(本项目情况) │ │ → HTTPS 证书配置在 ECS 的 Nginx 上 │ │ → Nginx 终止 SSL,内部用 HTTP 转发给 Tomcat │ └──────────────────────────────────────────────────────────┘本项目架构(在 Nginx 层终止 HTTPS):用户浏览器 │ HTTPS 443 ▼ Docker Nginx(SSL 终止,处理证书) │ HTTP 内网 ▼ Tomcat 8080 │ ▼ Java Web 应用二、阿里云申请免费 SSL 证书并开放 443 端口2.1 申请免费证书登录阿里云控制台搜索“SSL 证书”进入证书管理页面点击“免费证书”→“立即购买”(0元,每年20个免费额度)填写域名:www.chinahanwucun.cn完成域名所有权验证(选 DNS 验证,阿里云自动添加解析记录)等待签发(一般几分钟到1小时)2.2 下载证书证书签发后点击“下载”服务器类型选择“Nginx”(必须选 Nginx 格式,不能选 Tomcat)解压后得到两个文件:www.chinahanwucun.cn_nginx.zip 解压后: ├── www.chinahanwucun.cn.pem ← 证书文件 └── www.chinahanwucun.cn.key ← 私钥文件2.3 安全组开放 443 端口控制台 →ECS→ 选中实例 →安全组→管理规则入方向→手动添加:授权策略协议类型端口范围授权对象允许TCP443/4430.0.0.0/0点击保存⚠️ 这一步容易忘记,不开放 443 端口 HTTPS 将完全无法访问。三、服务器上配置 HTTPS3.1 上传证书到服务器在本地电脑执行:# 在服务器创建 ssl 目录