SSI并非一个标准的、广为人知的安全证书类型,通常网站安装的是SSL/TLS证书,用于加密网站和用户浏览器之间的通信,保障数据传输安全。以下以安装SSL/TLS证书为例,介绍网站安装证书的步骤:
一、证书申请与获取
选择证书类型
DV证书(域名验证型):仅验证域名所有权,颁发速度快,适合个人网站或小型企业,价格较低或免费。
OV证书(组织验证型):除验证域名外,还需验证企业身份,适合企业官网,安全性更高。
EV证书(扩展验证型):最严格的验证流程,浏览器地址栏会显示绿色企业名称,适合金融、电商等对安全性要求极高的网站。
申请证书
购买商业证书:从可信的证书颁发机构(CA)等购买。
申请免费证书:使用Let's Encrypt等免费CA服务,通过其他工具自动申请和部署。
生成CSR和私钥
使用OpenSSL工具生成CSR(证书签名请求)和私钥:
填写CSR信息(如国家、省份、城市、组织名称、域名等),提交给CA。
验证域名所有权
DNS验证:在域名DNS记录中添加TXT记录。
HTTP验证:在网站根目录上传CA提供的验证文件。
邮箱验证:通过域名管理员邮箱完成验证。
下载证书文件
验证通过后,CA会提供证书文件(通常是.crt或.pem格式)和中间证书链(.ca-bundle或.intermediate)。
二、证书安装与配置
- 上传证书文件
将证书文件、私钥文件和中间证书链上传到服务器指定目录(如/etc/ssl/或Nginx/Apache的SSL目录)。
- 配置Web服务器
Nginx配置示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/example.com.crt;
ssl_certificate_key /etc/ssl/example.com.key;
ssl_trusted_certificate /etc/ssl/example.com.ca-bundle;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /var/www/html;
index index.html;
}
}- 强制HTTPS重定向
配置HTTP(80端口)重定向到HTTPS(443端口),确保所有流量加密:
server {
listen 80;
server_name example.com;
return 301 https://$host$request_uri;
}- 重启Web服务器
保存配置后,重启Nginx或Apache使配置生效:
sudo systemctl restart nginx
# 或
sudo systemctl restart apache2三、验证与测试
检查SSL配置使用在线工具(如SSL Labs的SSL Test)测试证书配置是否正确。
确保没有安全漏洞(如弱密码套件、过期证书等)。
浏览器访问测试在浏览器中访问网站,检查地址栏是否显示锁形图标和HTTPS。
确认没有证书错误或警告。
四、定期维护
证书续期商业证书通常有效期为1-2年,需提前续期。
Let's Encrypt证书有效期为3个月。
监控证书状态设置监控系统,定期检查证书有效期,避免过期导致服务中断。
五、常见问题
证书路径错误确保配置文件中的证书路径与实际文件路径一致。
私钥权限问题私钥文件权限应设置为600,仅限root用户读取:
600 /etc/ssl/example.com.key中间证书链缺失
确保配置中包含完整的证书链,否则部分浏览器可能无法验证证书。
防火墙/安全组配置
确保服务器防火墙和云服务商安全组放行443端口。