一、SSL证书安装准备
安装前需完成三项关键操作:
- 通过OpenSSL生成2048位RSA私钥与CSR文件,包含准确的组织信息与域名
- 向CA机构提交CSR文件并通过DNS或HTTP验证域名所有权
- 下载包含中级CA证书的证书包,通常包含.crt、.key和.ca-bundle文件
建议将证书文件统一存放在/etc/ssl/certs目录,私钥文件权限设置为600。
二、证书安装核心步骤
以Nginx服务器为例:
- 上传
.crt证书文件和.key私钥至服务器 - 在nginx.conf配置文件中添加SSL指令块:
ssl_certificate /etc/ssl/certs/domain_bundle.crt; ssl_certificate_key /etc/ssl/certs/domain.key; - 强制HTTP跳转HTTPS:
server { listen 80; return 301 https://$host$request_uri; }
Windows IIS需通过MMC控制台导入PFX格式证书,并选择”计算机账户”存储位置。
三、域名绑定与端口配置
多域名场景配置要点:
- 使用SNI技术支持单IP多域名证书,在server块中指定
server_name字段 - 非标准端口需在防火墙开放对应端口(例:8443):
listen 8443 ssl; - 泛域名证书配置需包含通配符域名(*.example.com)
server {
listen 443 ssl;
server_name shop.example.com;
ssl_certificate /path/to/shop_cert.pem;
# 其他配置...
server {
listen 443 ssl;
server_name blog.example.com;
ssl_certificate /path/to/blog_cert.pem;
# 其他配置...
}四、验证与调试
完成部署后需执行:
- 使用
nginx -t测试配置文件语法 - 通过Qualys SSL Labs进行安全评级检测
- 检查证书链完整性:
openssl verify -CAfile ca_bundle.crt domain.crt
常见错误包含中级证书缺失(Error 526)和密钥不匹配(ERR_SSL_VERSION_OR_CIPHER_MISMATCH)。
正确的证书安装需遵循”生成请求→验证域名→部署证书→配置重定向”的标准流程,同时注意更新证书前保留旧证书副本。混合内容问题可通过Content-Security-Policy头强制HTTPS资源加载。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/730222.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
