当前位置:首页 > 行业动态 > 正文

https证书申请

HTTPS证书申请需生成密钥及CSR,选择证书机构(如Let’s Encrypt免费/DigiCert付费),提交CSR并通过DNS或邮件验证域名所有权,获取证书后配置服务器启用

HTTPS证书申请全流程解析

核心概念理解

  1. SSL/TLS协议:网络安全传输协议,通过数字证书实现服务器身份验证和数据加密
  2. 证书构成要素
    • 公钥/私钥对
    • 证书颁发机构(CA)签名
    • 域名/组织信息
    • 有效期(通常1年)
    • 证书链(含中间证书)

证书类型选择

类型 验证方式 适用场景 价格区间
DV SSL 域名所有权验证 个人网站/测试环境 ¥0-¥500/年
OV SSL 企业实名验证 企业官网 ¥500-¥3000/年
EV SSL 扩展验证(含企业实地认证) 金融/电商等敏感场景 ¥3000+/年
通配符证书 支持主域及所有子域 多子域站点 溢价约30%
多域名证书 支持多个独立域名 站群管理 按域名数量计价

申请流程详解

  1. 生成密钥对

    openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr
    • 密钥长度建议≥2048位
    • CSR(证书签名请求)需准确填写单位/个人信息

  2. 选择CA机构
    | CA机构 | 特点 | 免费额度 |
    |—————-|——————————-|—————-|
    | Let’s Encrypt | 自动化续期,仅限DV证书 | 完全免费 |
    | DigiCert | 企业级服务,支持OV/EV | $79-$499/年 |
    | ZeroSSL | 野卡证书,支持通配符 | 3个免费证书/周 |

  3. 域名验证方式

    https证书申请 第1张

    • DNS TXT记录:添加特定值到DNS记录(推荐)
    • 文件验证:上传指定文件到网站根目录
    • 邮件验证:通过管理员邮箱接收验证链接

  4. 企业验证补充材料(OV/EV证书):

    • 营业执照扫描件
    • 法人身份证正反面
    • 办公地址证明文件
    • 授权书(如非规人办理)

安装配置指南

  1. Apache配置示例

    <VirtualHost :443>
  SSLEngine on
  SSLCertificateFile /path/to/cert.pem
  SSLCertificateKeyFile /path/to/privkey.pem
  SSLCertificateChainFile /path/to/chain.pem
  ServerName example.com
</VirtualHost>

  2. Nginx配置要点

    • 合并证书链文件(CA证书+域名证书)
    • 强制HSTS配置:add_header Strict-Transport-Security "max-age=31536000";
    • SSL参数优化:启用TLS1.2+,禁用弱加密算法

关键注意事项

  • 证书链完整性:必须包含中间证书
  • 私钥保护:权限设置为600,定期备份
  • 续期机制:提前60天监控证书有效期
  • 浏览器兼容性:优先选择支持ECC算法的证书

常见问题处理

  • 证书不被信任:检查中间证书是否完整
  • 错误:确保所有资源使用https加载
  • 移动端适配:iOS要求证书链不超过5级
  • 性能优化:启用OCSP Stapling减少握手延迟

问题与解答专栏

Q1:HTTPS证书到期前多久应该更换?
A1:建议提前30天开始更换流程,Let’s Encrypt证书可通过certbot renew命令自动续期,企业级证书通常支持在线更新,注意保留旧证书直到新证书生效,避免服务中断。

Q2:免费证书和付费证书的核心区别是什么?
A2:主要差异在验证层级和责任保障:

  • 免费证书(如Let’s Encrypt)仅提供基本DV验证,适合个人站点
  • 付费证书提供OV/EV验证,具备法律担保和保险赔付(10万-$100万美元)
  • 付费证书支持更多高级功能(如OCSP Must-Stap
https
0

相关文章