一、申请前准备工作
在申请SSL证书前需完成以下准备工作:
- 确认服务器环境:安装Nginx/Apache等Web服务器,通过
nginx -v或apache2 -v验证版本 - 域名解析验证:确保域名已正确解析至服务器公网IP,使用
ping yourdomain.com测试连通性 - 防火墙设置:开放80(HTTP)和443(HTTPS)端口,执行
sudo ufw allow 80 && sudo ufw allow 443
二、SSL证书申请流程
主流证书申请方式分为免费与商业两种方案:
- 免费证书申请
- 使用Let’s Encrypt的Certbot工具:
sudo certbot --nginx -d yourdomain.com完成自动化申请 - 手动验证模式:通过
certbot certonly --manual执行DNS验证
- 使用Let’s Encrypt的Certbot工具:
- 商业证书申请
- 在CA机构(如JoySSL)注册账号,选择DV/OV/EV证书类型
- 提交企业资质文件,完成电话或邮箱验证
三、证书安装与配置
以下为Nginx服务器的典型配置示例:
server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
# 其他配置参数...
}Apache用户需启用SSL模块并修改虚拟主机配置:
- 加载mod_ssl模块:
a2enmod ssl - 在
段添加SSLCertificateFile和SSLCertificateKeyFile路径
四、HTTPS服务器配置
完成证书安装后需进行以下优化:
- 强制HTTPS跳转
- Nginx配置:
return 301 https://$host$request_uri; - Apache配置:使用mod_rewrite模块实现重定向
- Nginx配置:
- 启用HSTS协议:添加
Strict-Transport-Security响应头
五、维护与续期管理
- Let’s Encrypt证书需每90天续期:
sudo certbot renew --dry-run测试自动续期 - 商业证书续期:通过CA机构控制台重新验证并下载新证书
- 定期检查SSL配置:使用SSL Labs测试工具验证配置安全性
通过Certbot等自动化工具可快速完成免费证书部署,商业证书则提供更高级别的信任保障。配置过程中需注意协议版本选择、密钥强度设置等安全细节,同时建立规范的证书维护机制以确保持续可用性。
