一、前期准备
确认公网IP地址
- 需为固定公网IP(动态IP会导致证书频繁失效),确保可从互联网任意位置访问。
- 开放服务器端口:80(HTTP) 和443(HTTPS) ,用于验证和通信。
二、申请IP SSL证书
公网IP地址SSL证书咨询入口
1.注册并登录CA平台
- 访问JoySSL官网,注册时填写注册码230939,获取一对一技术支持。
2.选择证书类型
- DV证书:适合个人网站,验证速度快(几分钟至数小时),仅验证IP所有权。
- OV证书:适合企业,需验证组织信息(1-3个工作日),地址栏显示公司名称。
3.提交申请信息
- 填写公网IP地址、联系人信息等。
4.验证IP所有权
- 文件验证:在服务器根目录上传CA提供的验证文件,通过访问
http://IP地址/验证文件名确认控制权。 - DNS验证(部分CA支持):通过添加TXT记录验证域名(若IP绑定域名)。
- 邮件验证:接收CA发送的验证邮件并点击确认链接。
5.下载证书文件
- 验证通过后,下载证书包(含
.crt证书文件、.key私钥文件、中间证书链)。
三、服务器部署证书
以Nginx为例,其他服务器(Apache、IIS、Tomcat)配置逻辑类似:
1.上传证书文件
- 通过FTP或SCP将证书文件(
.crt和.key)上传至服务器指定目录(如/etc/ssl/)。
2.编辑Nginx配置文件
server {
listen 443 ssl;
server_name 你的公网IP地址; # 或绑定域名
ssl_certificate /etc/ssl/your_certificate.crt; # 证书路径
ssl_certificate_key /etc/ssl/your_private.key; # 私钥路径
ssl_protocols TLSv1.2 TLSv1.3; # 禁用不安全协议
ssl_ciphers HIGH:!aNULL:!MD5; # 使用强加密套件
}
3.重启Nginx服务
四、测试与验证
1.浏览器访问测试
- 在浏览器输入
https://你的公网IP地址,检查是否显示绿色锁图标和https前缀。 - 点击锁图标查看证书信息,确保证书状态为“有效”,且包含正确的IP地址。
2.使用在线工具验证
- 使用SSL Labs测试工具,输入IP地址进行全面安全检测,确保评分达到A级。
3.检查证书有效期
- 证书有效期通常为1-3年,需提前续期(JoySSL支持自动续期)。
五、注意事项
1.证书类型选择
- 个人用户优先选DV证书,企业用户选OV证书以增强信任。
- 避免使用自签名证书(浏览器会显示安全警告)。
2.安全配置优化
-
禁用SSLv3和TLSv1.0/1.1,仅启用TLSv1.2+。
-
启用HSTS(HTTP Strict Transport Security)头,强制浏览器使用HTTPS:
3.定期更新与备份
- 证书到期前30天续期,避免服务中断。
- 备份证书文件和私钥至安全位置。
4.内网IP证书(可选)
- 若需在内网使用HTTPS,选择支持内网IP的CA(如JoySSL),流程与公网IP类似,但需确保内网IP固定且可访问。
内网IP地址SSL证书咨询
六、常见问题解决
- 证书验证失败:检查防火墙是否放行80/443端口,或验证文件路径是否正确。
- Nginx启动失败:使用
nginx -t检查配置语法错误。 - 浏览器不信任证书:确保证书由受信任CA签发,且中间证书链完整。
