一、SSL证书类型选择
根据网站业务需求选择证书类型是部署HTTPS的第一步,主要分为以下三类:
- 单域名证书
适用于单个主域名(如www.example.com) - 通配符证书
支持*.example.com形式的子域名 - 多域名证书
可绑定多个独立域名(如example.com和shop.com)
对于测试环境,推荐使用Let’s Encrypt的免费证书;生产环境建议选择DigiCert、GlobalSign等权威CA机构颁发的OV/EV证书。
二、证书购买流程规范
- 生成CSR文件:使用OpenSSL生成包含RSA私钥的证书请求文件
- 提交CA审核:提供企业资质证明完成域名验证(DNS验证/文件验证)
- 证书签发:通过审核后CA发送包含公钥的证书文件
- 证书下载:获取包含中间证书的完整证书链文件
| 机构 | 验证类型 | 有效期 |
|---|---|---|
| Let’s Encrypt | DV | 90天 |
| Sectigo | OV/EV | 1-2年 |
三、服务器配置与部署
以Nginx服务器为例,部署流程包含以下关键步骤:
- 上传证书文件到/etc/nginx/ssl目录
- 修改nginx.conf配置文件:
server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/fullchain.pem; ssl_certificate_key /etc/nginx/ssl/privkey.pem; } - 设置HTTP强制跳转:
server { listen 80; server_name example.com; return 301 https://$host$request_uri; }
配置完成后需执行nginx -t测试配置,并通过systemctl reload nginx重载服务。
四、维护与安全优化
- 设置证书自动续期:使用Certbot工具实现Let’s Encrypt证书自动更新
- 启用HSTS协议:添加
Strict-Transport-Security响应头 - 定期更新TLS协议:禁用SSLv3,优先使用TLS 1.2/1.3
- 监控证书有效期:通过Nagios等工具设置到期提醒
