nginx https配置失败主因是ssl_certificate路径错误,必须指向fullchain.pem而非cert.pem,且ssl_certificate_key需为无密码私钥;laravel需设app_url为https并配置trustproxies中间件信任x-forwarded-proto头;let’s encrypt续期后须用nginx -s reload生效;http跳转应由nginx return 301实现,而非laravel中间件。
nginx 配置 HTTPS 时 ssl_certificate 路径填错导致 502 或启动失败
证书文件路径写错是 Laravel 站点跑不起来最常见原因,不是 Laravel 的问题,而是 nginx 根本没加载成功 SSL 配置。错误现象包括:nginx: [emerg] SSL_CTX_use_certificate_chain_file() failed,或访问时直接 502 Bad gateway。
实操建议:
-
ssl_certificate必须指向 完整的证书链文件(.pem 或 .crt),不是单独的域名证书,也不是私钥;常见错误是把fullchain.pem写成cert.pem -
ssl_certificate_key必须是 未加密的私钥(.key),如果用了密码保护,nginx 启动时会卡住等待输入,导致服务起不来 - 路径用绝对路径,别依赖当前工作目录;推荐统一放在
/etc/nginx/ssl/example.com/下,并确认 nginx 用户(通常是www-data)有读取权限:sudo chmod 644 /etc/nginx/ssl/example.com/*.pem
Laravel 的 APP_URL 和中间件如何影响 HTTPS 重定向逻辑
即使 nginx 已配好 HTTPS,Laravel 生成的 URL(如 route()、asset())仍可能输出 http://,导致混合内容警告或跳转失效——根本原因是 Laravel 不知道当前请求是走 HTTPS 进来的。
实操建议:
- 确保
APP_URL在.env中设为https://example.com,否则所有辅助函数默认按 HTTP 构建链接 - 在
AppHttpMiddlewareTrustProxies中,必须显式配置$proxies和$headers,否则 Laravel 不信任 nginx 传来的X-Forwarded-Proto头:protected $proxies = '*';<br>protected $headers = Request::HEADER_X_FORWARDED_PROTO; - 如果用的是云服务商(如 AWS ALB、Cloudflare),
$proxies不能写'*',得填实际的负载均衡器 IP 段,否则存在安全绕过风险
Let’s Encrypt 自动续期后 nginx 不生效?检查 reload 时机和证书时间戳
certbot 续期成功不代表 nginx 就用了新证书。常见现象:浏览器提示证书过期,但 sudo certbot certificates 显示“Expiry date: … in 89 days”。
实操建议:
- certbot 的
--deploy-hook必须触发 nginx 重载,而不是只重启:--deploy-hook "nginx -s reload"(注意不是systemctl restart nginx) - 检查证书文件修改时间:
stat /etc/nginx/ssl/example.com/fullchain.pem,如果时间没变,说明 hook 没执行或失败了 - 手动测试续期流程:
sudo certbot renew --dry-run,观察 hook 是否报错;常见坑是 hook 脚本里用了相对路径或未加sudo
HTTP 强制跳转 HTTPS 的配置位置和隐藏风险
很多人在 Laravel 中用中间件做 301 跳转,这是错的——应该由 nginx 在最外层处理,否则 PHP 进程白白启动一次才重定向,浪费资源,还可能漏掉静态资源请求。
实操建议:
- 在 nginx server 块中用
return 301 https://$host$request_uri;,不要用rewrite,更不要在 Laravel 中用Redirect::secure() - 确保 HTTP server 块监听
80端口且 不包含 root 或 location 配置,否则可能意外响应 HTML 而非纯跳转 - 如果站点同时支持 www 和非 www,跳转规则要覆盖两种情况,避免出现
http://www → https://non-www这类中间跳转
HTTPS 配置真正的复杂点不在 Laravel,而在 nginx 与 Let’s Encrypt 的协作边界上:证书路径权限、头信息信任链、reload 时机、跳转层级——这些地方一环出错,浏览器就只显示一个冷冰冰的连接不安全提示,查日志也看不出 Laravel 有任何异常。