一、准备工作与证书申请
SSL证书部署前需完成以下准备步骤:
- 选择证书类型:根据需求选择单域名、多域名或通配符证书,免费证书(如Let’s Encrypt)适合个人站点,付费证书提供更高信任等级。
- 生成CSR文件:使用OpenSSL工具生成包含域名、组织信息的证书签名请求文件,命令示例:
openssl req -new -key private.key -out certificate.csr。 - 验证域名所有权:通过DNS添加TXT记录、HTTP文件验证或邮箱验证完成CA机构审核。
二、安装与服务器配置
获取证书文件后,需按服务器类型进行配置:
- Nginx服务器:上传
.crt和.key文件至/etc/nginx/ssl/目录,在配置文件中添加SSL监听端口和证书路径。 - Apache服务器:启用
mod_ssl模块后,在httpd.conf中指定SSLCertificateFile和SSLCertificateKeyFile。
server {
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/website.crt;
ssl_certificate_key /etc/nginx/ssl/website.key;
三、部署验证与注意事项
完成部署后需重点检查以下内容:
- 端口开放:确保服务器443端口未被防火墙拦截。
- 证书链完整性:中级CA证书需与域名证书合并安装,避免浏览器警告。
- 自动续期机制:使用
certbot renew命令配置定时任务,防止证书过期。
安全注意事项:私钥文件需设置600权限,禁止公开存储;避免在测试环境使用生产证书;定期使用SSL Labs工具检测加密强度。
通过合理选择证书类型、规范配置流程以及定期维护,可显著提升网站安全性与用户体验。建议在证书到期前30天启动续期流程,并建立HTTPS全站强制跳转策略。
