獲取SSL證書的過程通常涉及以下幾個步驟:
根據網站的需求,選擇合適的SSL證書類型:
域名驗證(DV, Domain Validation)證書:驗證域名所有權,頒發速度快,適合中小型網站。
企業驗證(OV, Organization Validation)證書:驗證域名所有權和企業身份,適合中大型企業網站。
擴展驗證(EV, Extended Validation)證書:驗證最嚴格,需要詳細審核企業信息,適合需要最高信任度的網站。
選擇一個受信任的證書頒發機構(CA)購買證書,例如:
Let’s Encrypt(提供免費的DV證書)
DigiCert
GlobalSign
Comodo (現為 Sectigo)
Symantec (現為 DigiCert的一部分)
Thawte
在服務器上生成一個證書簽名請求(CSR),CSR包含了證書申請者的公鑰和一些身份信息。生成CSR的步驟如下:
登錄到服務器。
使用OpenSSL或類似工具生成CSR。例如,使用OpenSSL命令:
bash復制代碼openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
按照提示輸入相關信息,包括國家、州/省、市、組織名稱、域名(Common Name),以及聯系電子郵件。
生成后,會得到兩個文件:一個私鑰文件(yourdomain.key)和一個CSR文件(yourdomain.csr)。
將生成的CSR提交給選擇的證書頒發機構(CA)。CA會根據證書類型進行驗證:
域名驗證(DV):通常通過發送電子郵件到域名所有者,或者在域名的DNS記錄中添加特定的TXT記錄。
企業驗證(OV):除了域名驗證,還需要提供企業的注冊信息,CA會進行電話驗證。
擴展驗證(EV):需要提供詳細的企業信息,包括注冊文件、法人身份證明等,CA會進行嚴格的審核和電話驗證。
驗證通過后,CA會向你提供SSL證書文件。通常會包括主證書文件和中間證書文件。安裝SSL證書的步驟如下:
將證書文件上傳到服務器。
配置Web服務器(例如Apache、Nginx、IIS等)使用新的SSL證書。
例如,在Apache服務器中,配置文件(httpd.conf或ssl.conf)中添加或修改以下內容:
apache復制代碼SSLEngine on SSLCertificateFile /path/to/yourdomain.crt SSLCertificateKeyFile /path/to/yourdomain.key SSLCertificateChainFile /path/to/intermediate.crt
在Nginx服務器中,配置文件(nginx.conf或site configuration file)中添加或修改以下內容:
nginx復制代碼server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /path/to/yourdomain.crt;
ssl_certificate_key /path/to/yourdomain.key;
ssl_trusted_certificate /path/to/intermediate.crt;
# Other configurations...
}配置完成后,重啟Web服務器以應用新的SSL證書配置。
例如,在Apache中:
bash復制代碼sudo systemctl restart apache2
在Nginx中:
bash復制代碼sudo systemctl restart nginx
訪問你的域名,確保瀏覽器地址欄顯示安全鎖圖標,表明SSL證書已成功安裝并且通信是加密的。你可以使用SSL測試工具(例如SSL Labs的SSL Test)檢查證書是否正確安裝并配置。