申请HTTPS证书的一般流程
- 准备工作
- 确定域名:明确需要申请证书的域名,确保域名所有权清晰,可通过域名管理平台进行相关操作。
- 生成密钥对:在服务器上使用工具(如OpenSSL)生成私钥和公钥。例如,使用命令
openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr,该命令会生成一个2048位的RSA私钥(domain.key)和证书签名请求(CSR,domain.csr)。
- 选择证书颁发机构(CA):挑选一个受信任的CA,常见的有Let's Encrypt、Symantec(现DigiCert)、Comodo等。不同CA在价格、信任度、服务等方面存在差异。
- 提交申请
- 提交CSR:将生成的CSR提交给选定的CA,可通过CA的网站或管理控制台进行操作。CA会验证域名所有权。
- 验证方式
- DNS验证:在域名的DNS记录中添加特定的TXT记录,CA通过查询DNS来验证域名控制权。
- 文件验证:在网站根目录放置CA指定的验证文件,CA通过访问该文件验证域名控制权。
- 等待审核与颁发:CA审核通过后,会颁发HTTPS证书。下载证书文件,一般包含证书文件(如.crt)和中间证书文件(如果有)。
- 部署证书:将下载的证书文件和之前生成的私钥部署到服务器上。具体操作因服务器软件而异,如在Nginx中,需在配置文件中指定证书和私钥路径,类似如下配置:
server {
listen 443 ssl;
server_name your_domain.com;
ssl_certificate /path/to/your_domain.com.crt;
ssl_certificate_key /path/to/your_domain.com.key;
...
}
常见的证书颁发机构
- Let's Encrypt
- 特点:免费的CA,致力于推动互联网加密普及。提供的证书受大多数浏览器信任。
- 适用场景:适合个人网站、创业项目等对成本敏感且对安全性有一定要求的场景。
- Symantec(现DigiCert)
- 特点:历史悠久,在行业内信誉度高,被广泛信任。证书价格相对较高。
- 适用场景:适用于对安全性和信任度要求极高的企业网站,特别是涉及金融、医疗等敏感信息的网站。
- Comodo
- 特点:提供多种类型证书,价格较为亲民,在市场上也有一定份额。
- 适用场景:适合中小企业网站,在提供较好安全性的同时兼顾成本。
不同类型证书适用场景的差异
- 单域名证书
- 适用场景:仅保护一个特定域名,如
example.com。适用于只有单个域名且无需保护子域名的网站,例如一些小型企业官方网站,仅以主域名对外提供服务,对安全性要求聚焦在单一域名上。
- 通配符证书
- 适用场景:可以保护一个主域名及其所有子域名,如
*.example.com,可同时保护 sub1.example.com、sub2.example.com 等。适用于有多个子域名且希望统一使用一个证书进行保护的网站,如大型网站的不同业务子域(如 blog.example.com、shop.example.com),使用通配符证书可简化证书管理,降低成本。
