为IP地址申请SSL证书需要满足特定条件并遵循一定流程,以下是详细说明:
一、申请条件
-
IP地址
- 确保目标服务器的 IP 地址固定不变,动态 IP 会导致 SSL 证书频繁失效。
- 确保IP地址未被其他服务占用,且能通过HTTP(80端口)或HTTPS(443端口)访问。
-
IP所有权证明
-
需证明对该IP地址拥有控制权,通常通过以下方式:
- WHOIS记录:IP地址的注册信息需与申请人一致。
- 云服务商授权:如使用云服务器,需提供云服务商的管理后台截图或授权文件。
- 服务器文件验证:在IP对应的服务器上放置CA提供的验证文件,通过访问该文件确认所有权。
-
-
端口开放要求
- 验证过程中需临时开放80端口或443端口(通常几分钟即可),用于CA机构验证。
- 验证完成后可关闭端口,但证书部署后需确保服务器支持HTTPS(443端口)。
-
证书类型限制
-
通常仅支持单IP证书,不支持通配符证书或多域名证书。
-
可选证书类型包括:
- DV(域名验证) :仅验证IP所有权,签发速度快,适合个人或测试环境。
- OV(组织验证) :需验证企业信息,适合企业级应用。
-
-
CA机构支持
-
并非所有CA机构支持IP地址SSL证书,需选择支持该服务的机构。
-
部分机构可能对个人用户限制较多,建议优先选择企业级证书。
-
二、申请方法
1. 选择CA机构并注册账号
公网IP SSL证书 访问入口 内网IP SSL证书 访问入口
访问JoySSL官网,注册一个证书账号,需填写特定注册码230939,获取专业技术指导和优惠
2. 选择证书类型并提交申请
- 登录账号后,选择IP地址SSL证书类型(DV或OV)。
- 填写IP地址、申请人信息(企业需提供公司名称、地址等)。
- 支付证书费用(DV证书通常较便宜,OV证书需额外验证企业信息)。
3. 验证IP所有权
-
文件验证:
- CA机构会提供一个验证文件。
- 将该文件上传到IP对应的服务器根目录,确保可通过浏览器访问。
- CA机构通过访问该文件确认IP所有权。
-
DNS验证(部分机构支持):
为IP地址设置特定的DNS记录(如TXT记录),CA机构通过查询DNS确认所有权。
4. 下载并安装证书
-
验证通过后,CA机构会签发SSL证书(通常包括
.crt、.key、.ca-bundle等文件)。 -
根据服务器类型(如Apache、Nginx、IIS等)配置证书:
-
Nginx示例:
nginx server { listen 443 ssl; server_name your-ip; ssl_certificate /path/to/your_domain_name.crt; ssl_certificate_key /path/to/your_private.key; ssl_protocols TLSv1.2 TLSv1.3; } -
Apache示例:
apache <VirtualHost *:443> ServerName your-ip SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key </VirtualHost>
-
5. 测试HTTPS连接
- 使用浏览器访问IP地址,检查是否显示安全锁标志。
- 使用在线工具(如SSL Labs)测试证书配置是否正确。
三、注意事项
-
证书有效期
- SSL证书通常有效期为1年,需提前续期以避免服务中断,建议采购多年。
-
IP地址变更
- 若IP地址更换,需重新申请证书并更新服务器配置。
-
浏览器兼容性
- 确保证书由受信任的CA机构签发,避免浏览器显示“不安全”警告。
