1. 使用 OpenSSL 工具生成自签名证书

方式一：先生成私钥（key），再生成CSR，最后生成证书（crt）
生成私钥（key）：

openssl genrsa -des3 -out server.key 2048

生成证书签名请求（CSR）：

在这一步中，您将会被要求输入一些组织信息，如国家、州、城市、组织名称等。
SUBJECT="/C=CN/ST=ZheJiang/L=HangZhou/O=组织名称/OU=组织单位名称/CN=域名/emailAddress=邮箱"
openssl req -new -subj $SUBJECT -key server.key -out server.csr

生成服务器的私钥，去除密钥口令:

mv server.key server.origin.key
openssl rsa -in server.origin.key -out server.key

通过CSR生成证书（crt）:

您需要将生成的CSR文件发送给证书颁发机构（CA），以获取证书。在这里，我们将使用自签名证书来代替：
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

方式二：直接生成私钥和证书（key和crt）

openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 365

两者区别:
第一种方法分离了私钥和证书的生成过程，更符合安全最佳实践。私钥是极其敏感的信息，应该妥善保护。通过CSR生成证书可以确保证书的合法性和有效性。

2. 配置nginx

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;

    # 其他 SSL 配置...
    ssl_protocols TLSv1.2 TLSv1.3; # 指定支持的 TLS 版本
}