HTTPS加密核心原理
HTTPS通过SSL/TLS协议实现数据传输加密,包含三大核心机制:
- 非对称加密建立安全通道
- 对称加密保障传输效率
- 数字证书验证服务端身份
现代证书颁发机构(CA)采用OV/EV验证模式,通过域名所有权验证确保证书合法性。最新TLS 1.3协议已淘汰不安全的加密算法,支持前向安全性加密套件。
电子证书申请流程
- 选择证书类型
- 单域名证书:适用于独立站点
- 通配符证书:支持*.domain模式
- 提交CSR文件
通过OpenSSL生成包含公钥的证书请求文件:
openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr - 完成域名验证
- DNS记录验证(推荐)
- HTTP文件验证
- 邮箱验证
自动续期配置指南
使用acme.sh实现自动化管理:
# 安装工具
curl https://get.acme.sh | sh -s email=admin@example.com
# 配置DNS API
export DP_Id="1234
export DP_Key="sADDsdasdgE
# 签发证书
acme.sh --issue --dns dns_dp -d example.com -d *.example.com
结合crontab设置定时任务,建议提前30天触发续期检测。
证书安装与验证
Nginx服务器配置示例:
server {
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/domain.key;
ssl_protocols TLSv1.2 TLSv1.3;
验证工具推荐:
- SSL Labs在线检测
- OpenSSL命令行验证
- 浏览器开发者工具
