一、申请前核心准备
-
服务器环境确认
- 确保目标IP已绑定至独立服务器(云主机/物理机),且开放80/443端口(验证阶段需临时开放80端口)。
- 提前安装SSL工具包(Linux系统通常预装,Windows可通过WSL或第三方工具获取)。
-
控制台权限要求
- 拥有服务器SSH或远程桌面登录权限,以便执行证书生成与配置操作。
↓
免费IP地址SSL证书:www.joyssl.com/certificate…
↑
二、证书申请四步走
步骤1:生成证书签名请求(CSR)
在服务器终端执行以下命令(替换your_ip为实际IP):
bash
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/CN=your_ip"
此操作将生成私钥文件server.key和证书请求文件server.csr,后者包含IP所有权信息。
步骤2:选择CA完成验证
登录免费证书服务控制台,提交server.csr文件后,需通过以下任一方式验证IP所有权:
- HTTP文件验证
在服务器根目录(如/var/www/html)创建指定文件,内容为CA提供的随机字符串,确保可通过http://your_ip/.well-known/路径访问。 - 端口扫描验证
部分服务支持通过TCP 80端口响应特定内容完成验证(需配置Nginx/Apache临时返回验证信息)。
步骤3:获取并下载证书
验证通过后,CA将签发包含以下文件的压缩包:
- 证书文件(
.crt或.pem格式) - 中间证书链(需与主证书合并)
- 私钥文件(
server.key,需严格保密)
步骤4:证书合并与格式转换
将主证书与中间证书链合并为完整证书链:
bash
cat your_ip.crt ca_bundle.crt > fullchain.pem
如需PFX格式(Windows服务器使用),执行:
bash
openssl pkcs12 -export -out certificate.pfx -inkey server.key -in fullchain.pem
三、服务器部署实战
Nginx配置示例
nginx
server {
listen 443 ssl;
server_name your_ip;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
}
重启Nginx服务使配置生效。
Apache配置示例
apache
<VirtualHost *:443>
ServerName your_ip
SSLEngine on
SSLCertificateFile /path/to/fullchain.pem
SSLCertificateKeyFile /path/to/server.key
</VirtualHost>
四、维护与续期策略
- 有效期管理
免费证书有效期通常为90天,建议设置定时任务自动续期(可通过Cron或计划任务调用ACME协议客户端)。 - 备份与监控
- 定期备份私钥和证书文件至安全存储。
- 配置SSL Labs等工具定期检测证书状态与加密协议强度。
五、关键注意事项
- IP证书限制:不支持通配符或多域名绑定,仅保护单个IP地址。
- 端口开放策略:验证完成后可关闭80端口,仅保留443提供服务。
- 协议升级:强制启用TLS 1.2及以上版本,禁用不安全的加密套件。
通过遵循标准化流程,即使没有域名,也能在零成本投入下为IP地址构建HTTPS加密通道。定期关注CA服务更新,可确保长期稳定的安全传输环境。
