一、SSL证书安装前准备
部署HTTPS服务前需完成以下基础配置:
- 确认服务器环境(Nginx/Apache)及版本号,可通过
nginx -v或apache2 -v验证 - 确保域名解析正确并开放443端口,使用
sudo ufw allow 443配置防火墙 - 根据需求选择证书类型:DV证书适合个人站点,OV/EV证书适合企业,通配符证书支持多子域名
二、生成CSR与获取证书
通过OpenSSL生成证书请求文件:
- 执行
openssl genrsa -out private.key 2048生成私钥 - 创建CSR文件:
openssl req -new -key private.key -out certificate.csr,需填写完整的组织信息 - 向CA机构提交CSR文件,完成域名所有权验证(DNS/HTTP/邮箱验证)
三、服务器证书安装配置
以Nginx为例的配置流程:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/yourdomain.crt;
ssl_certificate_key /etc/ssl/private/yourdomain.key;
ssl_protocols TLSv1.2 TLSv1.3;
}需注意将证书文件上传至指定目录,并重启服务生效
四、HTTPS验证与安全加固
部署完成后需进行以下验证:
- 浏览器访问检查HTTPS锁标识状态
- 使用SSL Labs测试工具检测协议安全性评分
- 配置HTTP强制跳转:
return 301 https://$host$request_uri;
维护建议
建立证书到期提醒机制,推荐使用自动化续期工具。定期更新加密套件,禁用不安全的TLS 1.0/1.1协议
