一级 Nginx 接入 SSL+HSTS + 安全优化落地方案

文章目录企业内网PKI体系重构方案：自建百年有效期根CA→中间CA→业务签发CA→Nginx一级代理SSL落地（适配现有hanyw.com架构）整体架构说明一、规划目录与环境1.证书服务器（自建CA统一部署节点，可选任意空闲机器，示例：10.16.8.9）2.关键有效期约定二、步骤1：自建100年Root根CA（离线制作，制作完成后私钥离线备份，机器断网封存）1.生成Root私钥（2048 RSA，密码保护，企业规范加密私钥）2.生成100年自签根证书根CA产物三、步骤2：Intermediate中间CA（根CA签发，有效期20年，离线）四、步骤3：Sign业务签发CA（中间CA签发，有效期10年，在线日常签发站点证书）五、步骤4：签发业务通配SSL证书 *.hanyw.com（用于一级Nginx）1.生成站点私钥+CSR2.SignCA签发3年站点证书，附加SSL扩展3.生成**完整证书链（crtbundle，Nginx可选配置证书链）**4.证书下发到两台一级Nginx（10.16.8.8、10.16.8.11）六、一级Nginx集成PKI自建SSL证书（替换原有自签证书，完整优化配置）七、全内网信任部署（PKI信任落地关键）Linux主机（所有代理、后端、DNS全节点）八、SSLPKI分层验证1.证书链校验2.HTTPS访问测试（导入根证书后无需-k忽略证书）3.SSL协议/加密套件验证4.HTTP跳转验证九、企业PKI运维、备份、监控方案1.CA密钥分级保管规范2.定时备份脚本（crontab每日凌晨）3.证书到期监控（接入Zabbix/Prometheus）十、架构访问链路更新十一、扩展优化项企业内网PKI体系重构方案：自建百年有效期根CA→中间CA→业务签发CA→Nginx一级代理SSL落地（适配现有hanyw.com架构）整体架构说明现有业务：www.hanyw.com / java.hanyw.com，一级Nginx(10.16.8.8/10.16.8.11、VIP10.16.8.12)终结SSL，内网HTTP明文。PKI三级分层（企业标准化，安全合规，避免根证书直接签发业务证书）：RootCA（根证书，有效期100年，离线保管、不上网、密钥离线封存）：企业信任锚，终身信任，不直接签发站点证书Intermediate CA（一级中间CA，有效期20年，根CA签发）：离线，用于签发下级业务CASign CA（业务签发CA，有效期10年，中间CA签发，在线部署在内网证书服务器）：日常签发域名SSL证书（*.hanyw.com通配证书）证书部署：仅一级Nginx部署*.hanyw.com站点证书+证书链，二级、后端继续内网HTTP，统一SSL终结在入口层。一、规划目录与环境1.证书服务器（自建CA统一部署节点，可选任意空闲机器，示例：1