SSL证书基础概念
SSL证书是保障网站数据传输安全的核心组件,通过加密技术建立可信连接。主流证书类型包含单域名证书、多域名证书和通配符证书,其中通配符证书(如*.example.com)可保护主域名及其所有子域名。
证书部署前需准备:
- 验证服务器443端口开放状态
- 获取有效的域名解析记录
- 选择合适的证书颁发机构(CA)
通配符证书申请流程
以沃通CA为例的操作步骤:
- 生成CSR文件:
openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr - 在CA平台提交CSR文件并验证域名所有权(DNS解析需添加CNAME记录)
- 下载包含主证书、中间证书的证书包
服务器配置指南
Nginx配置示例
证书文件部署路径建议:
- 主证书:/etc/ssl/certs/domain.crt
- 私钥文件:/etc/ssl/private/domain.key
配置文件中需包含:
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/domain.crt;
ssl_certificate_key /etc/ssl/private/domain.key;
# 中间证书需合并到主证书文件
}
自动续期方案
推荐使用acme.sh脚本实现自动化管理:
- 安装脚本:
curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh | sh -s email=admin@domain.com - 配置DNS验证(Cloudflare需使用API密钥)
- 创建cron任务:
0 0 * * 1 "/root/.acme.sh"/acme.sh --cron
宝塔面板用户可通过Let’s Encrypt插件实现可视化续期管理,但需注意文件验证方式不支持自动续期。
通过合理选择证书类型、规范部署流程并配置自动化工具,可有效降低HTTPS维护成本。建议每季度检查证书状态,及时更新CA中间证书以保持兼容性。
