无论您是首次部署SSL证书还是进行服务器迁移,这份详尽的清单将确保您的网站加密通道稳固可靠。

第一阶段:证书获取与准备

域名所有权验证: 确保已通过 DNS(DNS-01 Challenge) 或 HTTP文件(File-based Validation) 验证拥有域名的管理权。
获取域名证书文件:CertificateHub 下载 fullchain.crt(证书链)和 private.key(私钥)。
文件权限安全: 确保存储私钥的文件权限设置为 600,仅 root 或 web 用户可读。

第二阶段:服务器配置

在 Nginx 或 Apache 中应用配置时,请对照以下核心配置参数:

监听 443 端口: 确认监听端口 443 已开启 listen 443 ssl http2;
证书链完整: 必须使用 Fullchain 文件而非单一证书文件,否则部分移动端设备会报“证书不可信”。
SSL协议版本: 禁用 SSLv3, TLS 1.0, TLS 1.1,仅保留 TLS 1.2TLS 1.3

第三阶段:SSL证书常见问题与解决方法

SSL部署过程中可能会遇到以下异常情况,请根据对策快速修复异常问题:

1. 浏览器提示“您的连接不是私密连接”

可能原因: 证书域名不匹配 或 证书已过期。
解决方法: 检查 server_name 与证书签发域名是否一致;确认服务器时间同步是否正常;通过证书解析工具查看证书域名是否匹配,证书是否过期。

2. 提示“混合内容(Mixed Content)”警告

可能原因: HTTPS 页面中加载了 http:// 开头的资源文件,如图片、脚本或 CSS 等。
解决方法: 将所有资源引用改为相对路径 /js/app.jshttps:// 开头的绝对路径。

3. 移动端无法访问,PC 端正常

可能原因: 缺少中间证书(Intermediate Certificate)。
解决方法: 检查域名对应的 Nginx 配置文件中的 ssl_certificate 是否指向了包含中间证书的完整链文件。

第四阶段:安全加固 (A+ 评分)

完成基础部署后,建议进行以下加固以提升安全性:

启用高版本SSL协议: 在服务器(Nginx/Apache/IIS)中明确仅开启 TLS 1.2 和 TLS 1.3 协议,彻底禁用 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。

配置HSTS(HTTP Strict Transport Security) 策略: 强制浏览器只使用 HTTPS 连接到目标服务器。这可以防止一些潜在的中间人攻击,包括 SSL 剥离,会话 cookie 窃取等。

OCSP Stapling: 提高证书状态查询速度,减少握手延迟,同时保护用户隐私。

开启 HTTP/2: 提升网站速度,增强网站的加密特性。

确保证书链完整: 正确配置证书,避免浏览器报告证书链不完整。

部署后必做: 使用 SSL Labs Test 等工具对网站进行全面检测,确保评分为 AA+

监控证书过期: 设置预警系统,确保证书在到期前及时更新。

结语

HTTPS 不仅仅是一个挂锁图标,它代表了对用户隐私的尊重。遵循此清单,您可以避开 90% 的部署陷阱。