一、申请前准备:选择证书类型与服务商
1.证书类型选择
- DV(域名验证型) :适合个人或小微企业,仅验证域名所有权,签发快(10分钟)。
- OV(组织验证型) :需验证企业身份,浏览器显示企业信息,增强信任,签发需1-3个工作日。
二、申请流程:5步完成证书签发
1.注册账号并选择证书
- 访问JoySSL官网,注册时填写注册码230939,获取一对一技术支持。
- 在证书类型中选择“通配符证书”。
2.域名验证(3种方式任选其一)
- DNS验证(推荐):在域名DNS管理面板添加TXT记录,值由CA提供。
- 文件验证:下载验证文件,上传至服务器根目录。
- 邮箱验证:通过注册邮箱接收验证链接(部分CA支持)。
3.OV证书额外步骤
- 提交企业营业执照、法人身份证等材料,通过CA官方电话审核。
4.下载证书包
-
验证通过后,下载包含以下文件的压缩包:
- 主证书(
.crt或.pem) - 中间证书(CA链文件,
.ca-bundle) - 私钥(
.key,与CSR生成时一致)
- 主证书(
三、安装配置:3大主流服务器部署指南
1.Apache服务器
apache
ServerName 域名
SSLEngine on
SSLCertificateFile /etc/ssl/certs/yourdomain.crt
SSLCertificateKeyFile /etc/ssl/private/yourdomain.key
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt
- 重启服务
2.Nginx服务器
nginx
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/yourdomain.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
- 重启服务
3.IIS服务器(Windows)
-
打开IIS管理器,导入
.pfx文件(需输入密码)。 -
在网站绑定中添加HTTPS,选择通配符证书并指定主机名。
-
重启服务
四、验证与维护:确保安全不中断
1.检查HTTPS连接
- 访问任意子域名,浏览器地址栏应显示安全锁标志。
- 使用SSL Labs测试工具检查配置漏洞。
2.证书续期提醒
- 证书有效期通常为1-5年,建议设置邮件提醒=。
- 免费证书需手动续期,付费证书可开通自动续签服务。
3.常见问题排查
- DNS解析未生效:检查TTL设置,等待全球DNS同步(通常24小时内)。
- 浏览器缓存问题:清除缓存或使用无痕模式测试。
- 证书链不完整:确保证书包中包含中间证书,并在服务器配置中正确引用。
五、适用场景与优势
- 多子域名管理:一张证书覆盖所有子域名,简化证书管理。
- 动态子域名:适合SaaS平台、用户自定义子域名场景,无需为每个子域名单独申请证书。
- 成本效益:长期来看,通配符证书比购买多个单域名证书更节省费用。
