上一篇
https认证安装证书
生成密钥,申请证书,配置服务器,部署至站点,重启服务
HTTPS认证安装证书全流程解析
HTTPS基础概念
| 项目 | 说明 |
|---|---|
| HTTPS | 基于HTTP协议的安全加密版本,通过SSL/TLS协议实现数据加密传输 |
| SSL证书 | 包含公钥、私钥及证书颁发机构(CA)签名的数字文件,用于验证服务器身份 |
| 证书类型 | DV SSL(域名验证)、OV SSL(组织验证)、EV SSL(扩展验证) |
证书获取方式
| 方式 | 特点 |
|---|---|
| 付费CA | 赛门铁克、GlobalSign等,需提交企业资质审核(OV/EV证书) |
| 免费证书 | Let’s Encrypt提供免费DV证书,支持自动化续期 |
| 自签名证书 | 仅用于内部测试,浏览器会提示安全警告 |
证书安装核心步骤
生成密钥与CSR
# 生成RSA私钥(2048位) openssl genpkey -algorithm RSA -out private.key # 创建CSR(证书签名请求) openssl req -new -key private.key -out request.csr \ -subj "/C=CN/ST=省份/L=城市/O=公司/OU=部门/CN=域名"证书签发与下载
- 登录CA平台提交CSR文件
- 完成域名验证(DNS解析/文件验证)
- 下载证书文件包(含中级证书链)
服务器配置示例
| 服务器类型 | 配置文件路径 | 关键指令 |
|————|—————————————|—————————————–|
| Apache |/etc/httpd/conf/httpd.conf|SSLEngine on+ 证书路径配置 |
| Nginx |/etc/nginx/nginx.conf|ssl_certificate+ssl_certificate_key|
| IIS | IIS管理器 | 导入证书到网站绑定 |中间证书配置
将CA提供的中级证书链文件与主证书合并:cat domain.crt intermediate.crt root.crt > combined.crt
常见问题排查
| 现象 | 解决方案 |
|---|---|
| 浏览器地址栏感叹号 | 检查证书链是否完整,确保包含中级证书 |
| 证书私钥不匹配 | 重新生成CSR或检查私钥文件权限(600/400) |
| 移动端访问异常 | 检查是否支持旧版SSL协议(建议禁用SSLv3及以下) |
证书维护要点
- 有效期监控:设置到期前30天邮件提醒
- 私钥保护:chmod 600设置文件权限,定期备份
- 自动续期:使用Certbot自动更新Let’s Encrypt证书
certbot renew --dry-run # 测试续订流程
相关问题与解答
Q1:证书过期后如何紧急处理?
A1:
- 立即联系CA机构申请临时延期(部分付费CA支持)
- 临时启用备用证书(如有预存)
- 通过CDN服务商的应急证书功能(如Cloudflare)
- 最迟需在证书失效前完成续订
Q2:如何验证HTTPS配置是否成功?
A2:
- 浏览器检测:地址栏显示绿锁图标,点击查看证书详情
- 在线工具检测:使用SSL Labs Server Test(https://www.ssllabs.com/ssltest/)
- 命令行验证:
echo | openssl s_client -connect example.com:443 -servername
