九八云安全HTTPS证书申请全流程解析
HTTPS证书基础概念
HTTPS证书(SSL/TLS证书)是用于在Web服务器与浏览器之间建立加密通信的数字凭证,核心作用包括:
申请前准备
- 生成密钥对(开放SSL命令示例):
openssl genrsa -out private.key 2048 openssl req -new -key private.key -out request.csr
private.key:必须严格保密
request.csr:包含公钥和单位信息的证书签名请求
- 域名验证方式:
- DNS验证:在域名解析记录添加特定TXT记录
- 文件验证:在网站根目录上传指定验证文件
- 邮件验证:接收CA发送的验证邮件并点击链接
主流CA申请渠道
| CA机构 | 免费计划 | 付费方案特点 |
|---|---|---|
| Let’s Encrypt | √ 90天有效期 | 需定期自动续签 |
| DigiCert | 支持OCSP Stapling优化性能 | |
| GlobalSign | 中文企业支持 | |
| ZeroSSL | √ 90天免费证书 | 支持通配符域名 |
证书安装配置
- Nginx配置示例:
server { listen 443 ssl; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/private.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; } - 关键配置参数:
ssl_session_timeout:建议设置≥5分钟ssl_session_cache:开启可提升性能HSTS头配置:add_header Strict-Transport-Security "max-age=31536000";
证书维护要点
- 续期提醒:提前30天处理续期
- 证书链配置:必须包含中间证书
- 安全存储:私钥权限设置为400
- OCSP配置:启用在线证书状态协议
相关问题与解答
Q1:自签名证书和免费DV证书有什么区别?
A:自签名证书由自己生成,浏览器默认不信任,仅适合内部测试,Let’s Encrypt等免费DV证书由受信任的CA签发,浏览器认可,且支持自动续期。
Q2:证书过期后如何紧急处理?
A:1. 立即重新签发证书;2. 临时关闭HTTPS访问;3. 更新证书后清除浏览器缓存;4. 检查自动化续期脚本是否生效
