一、准备工作与证书获取
安装SSL证书前需完成以下准备工作:
- 确认服务器环境:检查Nginx/Apache版本及443端口开放状态
- 生成CSR文件:通过OpenSSL生成包含域名和组织信息的证书请求文件
- 获取证书文件:从CA机构下载包含.crt、.key和CA证书链的完整包
建议将证书文件统一存放在/etc/ssl/目录,并按类型建立certs/private子目录。
二、服务器证书安装步骤
通用安装流程适用于多数Web服务器:
- 上传证书文件至服务器指定目录
- 修改服务器配置文件启用SSL模块
- 配置证书路径和加密协议参数
- 重启服务使配置生效
需特别注意证书链文件的完整导入,避免浏览器提示证书不受信任。
三、HTTPS加密配置示例
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
Apache服务器需启用mod_ssl模块,并在虚拟主机配置中指定SSLCertificateChainFile参数。
四、测试与验证方法
- 浏览器访问
https://domain.com检查安全锁标识 - 使用OpenSSL命令验证证书链完整性:
openssl verify -CAfile ca_bundle.crt server.crt - 通过SSL Labs测试工具检查协议支持评级
五、注意事项与维护建议
- 确保证书私钥文件权限设置为600
- 配置自动续期提醒,商业证书需提前30天更新
- 禁用不安全的SSLv3和TLSv1.0协议
- 定期检查证书链完整性,避免中间证书过期
通过规范的证书安装流程和合理的HTTPS配置,可有效提升网站安全等级。建议每季度执行一次安全审计,及时更新加密协议和证书文件。
