SSL证书申请前提紧要:无论从何地申请SSL证书,选择原厂原封SSL证书是最基本的原则性问题,原厂SSL证书是指具有国际算法的全球公共可信的根证书及证书链都属于根证书厂家官方产品,避免申请到套牌贴牌SSL证书,假国产产品,特别要留意和国际SSL证书无关的资质居多的提供商,但却没有自己的国际算法可信根证书的提供商。目前地球上仅有的达到99%包括历史浏览器信任的机构仅有4家!这些机构属于国际公共机构。
申请和安装SSL证书涉及几个关键步骤,从从选择服务提供商到配置服务器具体步骤如下:
- 计划和准备
选择证书颁发机构(CA)或者提供商和证书类型:选择一个受信任的CA(例如GlobalSign、Gworg)以及适合您需求的证书类型:
域名验证(DV):大众化SSL证书,非常适合企业、电子商务、政府网站、医院、学校等各类门户网站。
实名验证(OV):包含实名认证,适用于需要实名的单位,但不会直接在浏览器展现。
扩展验证(EV):通过广泛的验证提供最高级别的信任,不会直接在浏览器展现实名信息。
如果需要保护多个子域名或不同的域名,请考虑使用通配符证书或多域名(SAN)证书。
确保域名注册:您必须拥有并管理您想要注册的域名。
收集服务器信息:您需要有关您的Web服务器的信息,例如其操作系统(例如Apache、Nginx、IIS)和IP地址,因为安装步骤因服务器类型而异。
- 生成证书签名请求(CSR)
CSR是在您的服务器上生成的一段加密文本,其中包含有关您的网站和组织的信息,包括公钥。
创建CSR:使用您的服务器软件或主机控制面板(例如cPanel、Plesk或IIS)生成 CSR。此过程会同时生成相应的私钥,该私钥必须保密并安全地存储在您的服务器上。
复制CSR:用文本编辑器打开生成的CSR文件,并复制全部内容,包括-----BEGIN NEW CERTIFICATE REQUEST-----和-----END NEW CERTIFICATE REQUEST-----标签。
订购并验证证书
购买/订购:前往您选择的CA网站或者SSL证书提供商(例如GlobalSign、Gworg产品页面),订购所选的SSL证书,并在订购过程中将复制的CSR粘贴到所需字段中。
域名验证(DV):证书颁发机构(CA)需要验证您对该域名的控制权。常用方法包括电子邮件验证(向已注册域名的联系人发送电子邮件)、DNS验证(添加特定的CNAME或TXT 记录)或HTTP文件验证(将特定文件上传到您的网站)。
组织验证(OV/EV):对于更高信任度的证书,CA将对您的企业身份和法律文件进行额外的审查。
接收文件:验证完成后,证书颁发机构(CA)将颁发证书,通常会通过电子邮件将证书文件发送给您,或者允许您在帐户控制面板中下载。这些文件通常包括主证书和中间/CA证书包文件。
安装SSL证书
下载文件:下载证书文件,如果出现提示,请选择正确的服务器类型。
上传和安装:将证书文件(主证书、中间证书和您之前生成的私钥)上传到您的Web服务器。
配置服务器绑定:配置您的服务器软件(例如,在IIS中,您创建一个站点绑定;在 Apache中,您编辑虚拟主机文件)以使用新证书进行HTTPS流量,通常在端口443上。
最后步骤和测试
重定向到HTTPS:配置您的网站和服务器,使其自动将所有HTTP流量重定向到新的、安全的HTTPS版本。
检查安装:使用Qualys SSL Labs或SSL Shopper的SSL Checker等免费在线工具来验证您的SSL证书是否已正确安装,以及整个证书链是否完整。
修复混合内容警告:确保页面上的所有资源(图像、脚本等)都通过HTTPS加载,以避免浏览器警告。
