上一篇
https证书的安装
HTTPS证书安装需生成密钥库,填写证书签名请求(CSR),通过CA机构获取证书文件,将证书导入服务器并配置监听443端口,最后通过浏览器验证绿色锁标识确认
HTTPS证书安装全流程详解
准备工作
| 步骤 | 说明 | |
|---|---|---|
| 获取域名所有权 | 通过DNS解析、文件上传或邮箱验证 | 需证明你对申请证书的域名拥有管理权限 |
| 生成密钥与CSR | 使用工具生成私钥和证书签名请求(CSR) | 私钥需严格保密,CSR包含公钥和域名信息 |
| 选择证书类型 | DV/OV/EV SSL证书 | DV(域名验证)最基础,EV(扩展验证)信任度最高 |
证书申请流程
- 登录证书服务商(如Let’s Encrypt/阿里云/DigiCert)
- 提交CSR文件:将生成的CSR粘贴到服务商平台
- 完成域名验证:
- DNS验证:添加特定TXT记录到域名解析
- 文件验证:在网站根目录上传指定验证文件
- 下载证书文件:获得
.crt/.pem证书和中间证书链
服务器配置示例
| 服务器类型 | 配置文件路径 | 核心指令 |
|---|---|---|
| Nginx | /etc/nginx/sites-available/default | ssl_certificatessl_certificate_keyssl_protocols |
| Apache | /etc/apache2/sites-available/000-default.conf | SSLCertificateFileSSLCertificateKeyFileSSLCertificateChainFile |
| IIS | IIS管理器 -> 站点绑定 | 导入PFX证书 启用TLS1.2+ |
Nginx配置模板:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/key.pem;
ssl_trusted_certificate /path/to/chain.pem; # 中间证书链
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}验证安装结果
- 访问测试:在浏览器输入
https://yourdomain - 证书状态检查:
- Chrome开发者工具 -> Security面板
- 在线工具:SSL Labs Server Test
- 常见错误处理:
NET::ERR_CERT_AUTHORITY_INVALID:未配置中间证书链Mixed Content:页面存在HTTP资源链接
注意事项
- 私钥保护:权限设置为
600,禁止公开访问 - 强制HTTPS跳转:配置301重定向(推荐)
- 证书更新:提前30天关注到期时间
- 支持协议:禁用SSLv3及以下版本
相关问题与解答
Q1:证书安装后浏览器仍提示“不安全”,如何解决?
A1:可能原因及解决方案:
- 中间证书链缺失 → 将CA提供的
chain.pem合并到主证书 - 存在混合内容 → 检查网页中HTTP资源并替换为HTTPS
- 证书未生效 → 重启Web服务器并清除浏览器缓存
Q2:如何将付费证书转换为Let’s Encrypt免费证书?
A2:操作步骤:
- 卸载现有证书,删除旧配置文件
- 使用Certbot工具生成新证书:
certbot certonly --standalone -d example.com
- 将生成的
fullchain.pem和privkey.pem部署到服务器 - 设置定时任务自动续期
