Linux部署SSL证书教程

用户800022565462025-07-21 13:41

在 Linux 上部署 SSL 证书通常涉及以下步骤,具体操作可能因 Web 服务器(如 Nginx、Apache)而异。以下是通用流程:

1. 准备 SSL 证书文件

从证书颁发机构(CA)获取证书后,通常会得到以下文件:

  • 证书文件 (如 yourdomain.crtyourdomain.pem
  • 私钥文件 (如 yourdomain.key
  • 中间证书链文件 (如 ca_bundle.crt,可选,部分 CA 会提供)

将文件上传到服务器的安全目录(如 /etc/ssl/):

bash 复制代码 
sudo mkdir -p /etc/ssl/yourdomain
sudo cp yourdomain.crt /etc/ssl/yourdomain/
sudo cp yourdomain.key /etc/ssl/yourdomain/
sudo cp ca_bundle.crt /etc/ssl/yourdomain/  # 如果有

2. 配置 Web 服务器

Nginx 配置示例

编辑站点配置文件(如 /etc/nginx/sites-available/yourdomain.conf):

nginx 复制代码 
server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate /etc/ssl/yourdomain/yourdomain.crt;
    ssl_certificate_key /etc/ssl/yourdomain/yourdomain.key;
    
    # 如果存在中间证书链,合并到证书文件或单独指定
    # ssl_trusted_certificate /etc/ssl/yourdomain/ca_bundle.crt;

    # 其他 SSL 优化配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256";

    # 其他站点配置...
}

# 强制 HTTP 跳转到 HTTPS
server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

测试配置并重启 Nginx:

bash 复制代码 
sudo nginx -t   # 测试配置
sudo systemctl restart nginx

Apache 配置示例

编辑虚拟主机文件(如 /etc/apache2/sites-available/yourdomain.conf):

apache 复制代码 
<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com

    SSLEngine on
    SSLCertificateFile /etc/ssl/yourdomain/yourdomain.crt
    SSLCertificateKeyFile /etc/ssl/yourdomain/yourdomain.key
    SSLCertificateChainFile /etc/ssl/yourdomain/ca_bundle.crt  # 如果有

    # 其他配置...
</VirtualHost>

# 强制 HTTP 跳转
<VirtualHost *:80>
    ServerName yourdomain.com
    Redirect permanent / https://yourdomain.com/
</VirtualHost>

启用模块并重启 Apache:

bash 复制代码 
sudo a2enmod ssl
sudo a2ensite yourdomain.conf
sudo systemctl restart apache2

3. 验证 SSL 配置

  • 浏览器访问 :通过 https://yourdomain.com 检查证书是否生效。

  • 命令行工具

    bash 复制代码 
    curl -vI https://yourdomain.com
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

  • 在线工具 :使用 SSL Labs 检测配置安全性。

常见问题

  1. 权限问题 :确保私钥文件(.key)仅对 root 可读:

    bash 复制代码 
    sudo chmod 600 /etc/ssl/yourdomain/yourdomain.key

  2. 证书链不完整 :合并证书和中间链:

    bash 复制代码 
    cat yourdomain.crt ca_bundle.crt > combined.crt

  3. 防火墙 :确保 443 端口开放:

    bash 复制代码 
    sudo ufw allow 443/tcp

根据实际环境调整路径和配置。如果是云服务器(如 AWS、阿里云),部分平台提供证书托管服务,可直接绑定到负载均衡器或 CDN。

相关推荐
GetcharZp1 小时前
C++日志库新纪元:为什么说spdlog是现代C++开发者必备神器?
c++·后端
三木水1 小时前
Spring-rabbit使用实战七
java·分布式·后端·spring·消息队列·java-rabbitmq·java-activemq
快乐就是哈哈哈2 小时前
一篇文章带你玩转 EasyExcel(Java Excel 报表必学)
后端
快乐就是哈哈哈2 小时前
手把手教你用 Java 写出贪吃蛇小游戏(附源码)
后端
别来无恙1492 小时前
Spring Boot文件下载功能实现详解
java·spring boot·后端·数据导出
公众号_醉鱼Java3 小时前
Elasticsearch文档数迷思:为何count和stats结果打架?深度解析背后机制
后端·掘金·金石计划
程序员爱钓鱼3 小时前
Go语言实战案例:使用Gin处理路由参数和查询参数
后端
bobz9653 小时前
5070TI 本地推理
后端
bobz9654 小时前
gpt-oss-20b-base 是基础模型
后端
澡点睡觉4 小时前
golang的继承
开发语言·后端·golang
热门推荐
01UV安装并设置国内源02全球最强模型Grok4,国内已可免费使用!(附教程)032025最新国内服务器可用docker源仓库地址大全(2025年8月更新)04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05[已解决]VSCode右键菜单消失恢复06KGG转MP3工具|非KGM文件|解密音频07GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】08Cursor 终端“卡死/无响应”问题的解法09🚀Cursor CLI+GPT-5保姆级教程+编程能力测评!Cursor CLI零成本免费使用GPT-5!Claude Code的劲敌来了!从安装到实战演示10OpenAI重返开源!GPT-OSS本地部署完全指南