上一篇
https配置域名
配置HTTPS需获取SSL证书,修改服务器配置文件绑定域名,设置443
HTTPS 域名配置全流程解析
证书申请与类型选择
| 证书类型 | 适用场景 | 特点 |
|---|---|---|
| DV SSL(域名验证) | 个人站点/内部系统 | 仅验证域名所有权,签发快(分钟级),免费(如Let’s Encrypt)或低价 |
| OV SSL(组织验证) | 企业官网/电商平台 | 验证企业身份,需提供营业执照等材料,签发时间1-5天,价格中等 |
| EV SSL(扩展验证) | 金融/支付类网站 | 严格验证企业信息,浏览器地址栏变绿,价格最高,签发周期2-7天 |
域名验证方式对比
| 验证方式 | 实现原理 | 优缺点 |
|---|---|---|
| HTTPS文件验证 | 在网站根目录上传特定哈希文件 | 操作简单,但需临时开放网站写入权限 |
| DNS TXT记录 | 添加指定TXT记录(如.well-known) | 安全性高,适合无面板服务器,但需操作域名解析 |
| CNAME验证 | 创建特定CNAME记录 | 适用于CDN加速场景,但部分DNS服务商限制CNAME数量 |
服务器配置示例(Nginx)
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
proxy_pass http://localhost:8080; # 反向代理应用服务
}
}强制HTTPS跳转配置
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.)$ https://%{HTTP_HOST}$1 [R=301,L]
</IfModule>常见问题排查清单
证书安装后仍报红
- 检查证书链是否完整(包含中间证书)
- 确认
ssl_certificate路径正确 - 清除浏览器缓存强制刷新(Ctrl+F5)
警告
- 修改图片/脚本URL为https协议
- 检查第三方统计代码/广告代码是否支持HTTPS
端口占用导致无法绑定443
netstat -tuln | grep 443查看占用进程- 停止冲突服务(如旧版Web服务器)
自动化续期设置(Let’s Encrypt)
# 创建crontab任务(每日检查) 0 0 /usr/bin/certbot renew --quiet --renew-hook "systemctl restart nginx"
相关问题与解答
Q1:SSL证书过期后如何紧急处理?
A1:立即登录证书厂商控制台重新签发,临时关闭浏览器安全提示(风险操作),长期方案应启用自动续期机制,建议使用CertManager(Kubernetes)或定时任务(物理机)。
Q2:如何强制客户端始终使用HTTPS?
A2:通过HSTS策略设置,在HTTPS响应头添加Strict-Transport-Security: max-age=31536000; includeSubDomains,配合301跳转实现全
