HTTPS证书怎么买

HTTPS证书购买与配置指南

什么是HTTPS证书？

HTTPS证书（SSL/TLS证书）是用于在Web服务器与浏览器之间建立加密连接的数字凭证，主要作用包括：

• 数据加密：防止传输内容被窃取或改动。
• 身份验证：证明网站真实身份，防止钓鱼网站。
• 浏览器信任：现代浏览器要求HTTPS才能正常访问，未部署证书的网站会被标记“不安全”。

证书类型与选择

根据验证等级和用途,HTTPS证书分为以下几类：

免费证书推荐：

• Let’s Encrypt：免费DV证书，支持90天自动续期，适合个人和小站点。
• ZeroSSL：免费DV证书，支持1年有效期。

购买流程（以付费证书为例）

1. 选择证书类型
   根据网站性质（个人/企业）、域名数量（单域/通配符）和预算选择证书。

2. 选择颁发机构（CA）
   知名CA机构推荐：

   • 全球权威：DigiCert、GlobalSign、Comodo（现Sectigo）。
   • 国内厂商：阿里云、酷盾安全、华为云（提供一站式购买与托管）。
   • 免费选项：Let’s Encrypt（需技术配置）。

3. 生成密钥与CSR

   • 在服务器上生成私钥（.key）和证书签名请求（CSR，.csr）。
   • 命令示例（OpenSSL）：

     openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

4. 提交订单与验证

   • 域名验证（DV）：通过DNS解析、文件上传或邮件验证域名所有权。
   • 企业验证（OV/EV）：需提供企业营业执照、法人身份证等材料。

5. 下载证书与配置

   • 从CA平台下载证书文件（.crt或.pem）。
   • 将证书、中间证书和私钥上传至服务器，配置Web服务器（如Nginx、Apache）。

服务器配置示例

Nginx配置

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/domain.crt;
    ssl_certificate_key /path/to/domain.key;
    ssl_trusted_certificate /path/to/intermediate.crt; # 中间证书
    # 强制HSTS（提升安全性）
    add_header Strict-Transport-Security "max-age=31536000";
}

Apache配置

常见问题解答

免费证书和付费证书有什么区别？
| 对比项 | 免费证书（如Let’s Encrypt） | 付费证书（OV/EV） |
|——————|——————————-|——————————|
| 验证方式 | 仅域名验证 | 企业身份+域名验证 |
| 浏览器信任 | 主流浏览器均信任 | 高信任度，地址栏显示企业名称 |
| 有效期 | 3个月（需自动续期） | 1-2年 |
| 技术支持 | 社区支持 | 专属客服与技术支持 |

证书过期了怎么办？

• 续费：在到期前重新购买证书并替换。
• 自动续期：使用工具（如certbot）实现Let’s Encrypt证书自动更新。
• 紧急处理：若证书已过期，浏览器会提示“不安全”，需立即停用HTTPS或补装新证书。

相关问题与解答

Q1：通配符证书是否支持所有子域名？

A1：通配符证书（如.example.com）仅支持无限层级的现有子域名，新增子域名无需额外配置，但不支持裸域名（如example.com），需单独购买或搭配多域名证书。

Q2：浏览器是否会信任所有CA颁发的证书？

A2：主流浏览器（Chrome、Firefox等）预埋了可信CA列表，仅信任列表内的颁发机构，购买前需确认CA是否被浏览器厂商认可，避免使用“自签名”或非可信