上一篇
https证书怎么弄
HTTPS证书需通过正规CA机构申请,生成密钥及CSR,选择免费或付费证书,配置服务器并验证生效,确保浏览器
HTTPS证书申请与配置全流程指南
HTTPS证书基础认知
- 核心作用:在客户端与服务器之间建立加密连接,防止数据被窃取或改动
- 证书类型:
- DV证书(域名验证):仅验证域名所有权,适用于个人网站
- OV证书(组织验证):验证企业身份,显示企业信息
- EV证书(扩展验证):最高信任等级,浏览器地址栏显示企业名称
证书获取方式对比
| 类型 | 代表机构 | 有效期 | 费用 | 适用场景 |
|---|---|---|---|---|
| 免费证书 | Let’s Encrypt | 90天 | $0 | 个人站点/测试环境 |
| 付费证书 | DigiCert/GlobalSign | 1-2年 | ¥500+/年 | 企业官网/电商平台 |
| 自签名证书 | 自主生成 | 永久 | $0 | 内部系统/开发测试 |
证书申请实操步骤
生成密钥与CSR
# 生成私钥(妥善保管) openssl genrsa -out private.key 2048 # 创建CSR(证书签名请求) openssl req -new -key private.key -out request.csr -subj "/C=CN/ST=省份/L=城市/O=公司/OU=部门/CN=域名"
选择CA机构
Let’s Encrypt:
- 使用Certbot工具自动化获取
- 支持Apache/Nginx等主流服务器
- 需设置定时任务自动续期
企业级CA申请流程:
- 登录CA官网提交CSR文件
- 完成域名验证(DNS/文件/邮件)
- 下载证书包(含.crt/.ca-bundle/.key)
服务器配置示例
# Nginx配置片段
server {
listen 443 ssl;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}常见问题解决方案
Q1:浏览器提示”不安全”怎么办?
- 检查证书链是否完整(需包含中间证书)
- 确认证书未过期且域名匹配
- 清除浏览器缓存后重试
Q2:如何实现自动续期?
# 使用Certbot设置cron任务(Linux) 0 0,12 /usr/bin/certbot renew --quiet
相关问题与解答
问题1:HTTP与HTTPS的主要区别是什么?
- 安全性:HTTPS通过TLS加密传输,HTTP明文传输
- 端口号:HTTP默认80端口,HTTPS默认443端口
- SEO影响:搜索引擎优先收录HTTPS站点
- 数据完整性:HTTPS防止内容被改动,HTTP无此保护
问题2:自签名证书有哪些使用限制?
- 仅适用于内部网络(浏览器会提示不安全)
- 无法通过第三方验证域名所有权
- 不适合公共互联网服务
