怎样验证 Nginx SSL 证书指纹信息

Nginx本身不校验证书指纹，仅加载并提供证书；验证需分三步：本地查文件指纹、线上比实际加载指纹、确保配置稳定生效。

Nginx 本身不校验证书指纹，它只加载并提供证书；验证指纹是运维或客户端侧的操作，目的是确认你配置的证书文件正确、线上实际加载的证书没出错，或者为上游/客户端校验做准备。关键分三步：本地查、线上比、配置稳。

本地验证证书文件指纹

你手头的 `fullchain.pem` 是否真对应你期望的证书？用 OpenSSL 直接读取计算：

查看 SHA-256 指纹（推荐）：
openssl x509 -in /path/to/fullchain.pem -noout -fingerprint -sha256

若需单独提取叶证书（排除中间证书干扰），可先用：
openssl x509 -in fullchain.pem -noout -text | head -30
确认第一段是你的域名证书，再用 sed 或 awk 截取后单独算指纹。

注意：私钥是否匹配？可加验：
openssl pkey -in /path/to/privkey.pem -pubout | openssl dgst -sha256
再与证书公钥哈希比对（或直接用 openssl x509 -noout -modulus 和 openssl rsa -noout -modulus 对比模数）。

线上确认 Nginx 实际提供证书的指纹

配置可能写错路径、reload 没生效、SNI 未指定——最终用户看到的才是真实的。

用 OpenSSL 直连服务端，强制带上域名（启用 SNI）：
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -fingerprint -sha256

这个输出必须和你本地 `fullchain.pem` 的指纹一致。如果不一致，说明 Nginx 没加载你认为的那个文件。

常见陷阱：
• 配置中用了软链接，但目标文件被更新而 Nginx 未 reload
• 多个 server 块共用 ssl_certificate 路径，其中一个块语法错误导致 fallback 到默认证书
• Certbot 续期后忘了执行 nginx -s reload

把指纹写进日志便于追踪

Nginx 自带 $ssl_server_fingerprint 变量（SHA-1），但更推荐自定义日志格式记录 SHA-256（需 OpenResty 或较新版本支持）。若环境允许：

在 http 块中添加：
log_format main_with_fp '$remote_addr - $remote_user [$time_local] "
$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"
SSL_FP="$ssl_server_fingerprint";'

然后在 server 或 location 中启用：
access_log /var/log/nginx/access.log main_with_fp;

重启 Nginx 后，每次请求日志里就会带当前服务端证书的 SHA-1 指纹。如需 SHA-256，需配合 Lua 模块或外部脚本注入。

对接客户端时的指纹同步要点

如果调用方（比如 App 或内部服务）做了证书固定（Certificate Pinning），它校验的是服务端返回证书的指纹。一旦你更新了证书，它的硬编码指纹就失效。

务必做到：
• 更新证书后，第一时间用线上命令获取新指纹
• 修改客户端代码或配置中的指纹值，不要跳过这步
• 避免长期硬编码——优先改用信任 CA 根证书的方式，或引入 SPKI 指纹（公钥级，抗重签变更）

临时排障技巧：
用 curl 加 -v 看 TLS 握手详情，或抓包分析 Client Hello / Server Hello 中的证书内容，再手动提取计算指纹比对。