所有托管服务节省 15%

测试技能,享折扣

使用代码: Skills 开始使用
China
安全 管理

如何在您的主机上安装 SSL 证书:完整分步指南

使用 SSL 证书保护您的网站不再是可选的 — 这是任何严肃在线业务的基本要求。SSL(安全套接字层)加密您的网络服务器和访问者之间交换的数据,保护登录凭据、支付详情和个人数据等敏感信息免受拦截。除了安全性之外,SSL 直接影响您的 SEO 性能:Google 已确认 HTTPS 是排名信号,这意味着未加密的网站在搜索结果中会受到主动处罚。

本综合指南将引导您完成 SSL 安装的每个阶段 — 从选择正确的证书类型到强制实施 HTTPS 和解决混合内容问题 — 确保您的网站保持安全、可信和具有竞争力。

什么是 SSL 证书,为什么它很重要?

SSL 证书是一个小型数字文件,将密钥加密绑定到您的组织详情。一旦安装在网络服务器上,它会激活浏览器地址栏中的挂锁图标并启用 https:// 协议。没有它,Chrome 和 Firefox 等现代浏览器会将您的网站标记为”不安全”,立即削弱访客信任和转化率。

安装 SSL 的主要好处包括:

  • 数据加密:服务器和浏览器之间的所有通信都经过加密,第三方无法读取。
  • 身份验证:访客可以验证他们正在与合法网站通信,而不是冒充者。
  • SEO 优势:Google 在有机搜索排名中优先考虑 HTTPS 网站。
  • 合规性:许多数据保护法规(GDPR、PCI-DSS)要求加密数据传输。
  • 用户信任:挂锁图标增加信心,特别是在电子商务和登录页面上。

如果您还没有保护您的托管环境,请探索 AlexHost 的 SSL 证书,了解与所有主要托管计划兼容的经济实惠选项。

第1步:为您的需求选择合适的SSL证书

并非所有SSL证书都是相同的。选择适当的类型取决于您网站的目的、受众和您需要建立的信任级别。

域名验证 (DV) SSL

  • 验证级别:仅确认您控制该域名。
  • 颁发时间:几分钟到几小时。
  • 最适合:个人博客、小型信息网站和开发环境。
  • 示例提供商:Let’s Encrypt(免费)、Comodo、Sectigo。

组织验证 (OV) SSL

  • 验证级别:验证域名所有权*并*确认您的组织存在。
  • 颁发时间:1–3个工作日。
  • 最适合:商业网站、公司门户和专业服务提供商。
  • 信任指标:组织名称在证书详情中可见。

扩展验证 (EV) SSL

  • 验证级别:最高可用级别——需要对法律、物理和运营存在进行严格审查。
  • 颁发时间:3–7个工作日。
  • 最适合:电子商务商店、金融机构、医疗保健平台。
  • 信任指标:公司名称在浏览器栏中突出显示(在支持的浏览器中)。

通配符和多域名SSL

  • 通配符SSL:保护主域名及其所有子域名(例如,*.yourdomain.com)。
  • 多域名 (SAN) SSL:在单个证书下保护多个不同的域名。

> 专业提示:如果您运营商业网站并希望获得最大的可信度,OV或EV证书值得投资。对于个人项目或暂存环境,Let’s Encrypt DV证书完全足够且完全免费。

第2步:生成证书签名请求 (CSR)

证书签名请求 (CSR) 是包含有关您的域和组织信息的编码文本块。您将其提交给您的 SSL 证书颁发机构 (CA),该机构使用它来创建您的证书。

如何在 cPanel 中生成 CSR

  1. 登录到您的托管控制面板(cPanel、Plesk、DirectAdmin 或自定义面板)。
  2. 导航到 Security → SSL/TLS
  3. 点击 Certificate Signing Requests (CSR)
  4. 填写必填字段:
字段描述示例
Domains要保护的域yourdomain.com
City您组织所在的城市New York
State您的州或省份New York
Country两字母 ISO 国家代码US
Company法律组织名称Your Company LLC
Company Division部门(可选)IT Department
Email管理员联系电子邮件admin@yourdomain.com
Passphrase可选的安全密码在大多数情况下留空
  1. 点击 Generate保存 CSR 和私钥 — 您稍后会需要它们。

如何通过命令行生成 CSR(Linux 服务器)

对于管理 VPS专用服务器的管理员,通过 OpenSSL 生成 CSR 可以让您完全控制:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

系统将提示您以交互方式输入您的组织详细信息。完成后,您将获得两个文件:

  • yourdomain.key — 您的私钥(保持安全,切勿分享)。
  • yourdomain.csr — 您要提交给证书颁发机构的 CSR。

> 安全警告:切勿与任何人(包括您的 SSL 提供商)分享您的私钥文件。只有 CSR 才能在外部提交。

第 3 步:获取您的 SSL 证书

选项 A:购买商业 SSL 证书

  1. 访问您选择的 SSL 提供商(Comodo、DigiCert、Sectigo、GlobalSign 等)。
  2. 选择您的证书类型并将您的 CSR 粘贴到订单表单中。
  3. 完成域名验证(如适用,还需完成组织验证)。
  4. 下载已颁发的证书文件 — 通常是一个 .crt 文件和一个中间/链证书包(.ca-bundle.pem)。

选项 B:通过 Let's Encrypt 获取免费 SSL 证书

Let's Encrypt 是一个免费、自动化且开放的证书颁发机构,受所有主要浏览器信任。大多数现代托管控制面板本身集成了 Let's Encrypt。

在 cPanel 中:

  1. 转到 Security → SSL/TLS Status
  2. 选择您的域名并点击 Run AutoSSL
  3. cPanel 将自动颁发并安装 Let's Encrypt 证书。

通过 Linux 上的 Certbot(VPS/专用服务器):

# Install Certbot
sudo apt update
sudo apt install certbot python3-certbot-apache  # For Apache
sudo apt install certbot python3-certbot-nginx   # For Nginx

# Issue and install certificate
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
# Or for Nginx:
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot 将自动配置您的 Web 服务器并设置自动续期。

第4步:在您的托管服务上安装SSL证书

通过cPanel安装SSL

  1. 登录cPanel并导航到Security → SSL/TLS
  2. 在*为您的网站安装和管理SSL (HTTPS)*部分下点击Manage SSL Sites
  3. 从下拉菜单中选择您的域名。
  4. 将证书文件的内容粘贴到相应的字段中:
  • Certificate (CRT):粘贴您的.crt文件的内容。
  • Private Key (KEY):粘贴您的.key文件的内容。
  • Certificate Authority Bundle (CABUNDLE):粘贴中间证书链。
  1. 点击Install Certificate

如果您使用的是带有cPanel的VPS,此过程相同且完全开箱即用。

通过Plesk安装SSL

  1. 登录Plesk并转到Websites & Domains
  2. 选择您的域名并点击SSL/TLS Certificates
  3. 点击Add SSL/TLS Certificate
  4. 输入证书名称,粘贴您的CSR和私钥,然后点击Request
  5. 证书颁发后,返回此部分,选择证书,然后点击Install

在Apache上安装SSL(手动安装)

对于直接管理Apache的VPS或专用服务器用户:

  1. 将您的证书文件上传到服务器(例如,/etc/ssl/certs/用于证书,/etc/ssl/private/用于密钥)。
  1. 编辑您的Apache虚拟主机配置:
<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/yourdomain.crt
    SSLCertificateKeyFile /etc/ssl/private/yourdomain.key
    SSLCertificateChainFile /etc/ssl/certs/yourdomain.ca-bundle

    # Recommended security headers
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set X-Content-Type-Options nosniff
    Header always set X-Frame-Options SAMEORIGIN
</VirtualHost>
  1. 启用SSL模块并重启Apache:
sudo a2enmod ssl
sudo a2enmod headers
sudo systemctl restart apache2

在Nginx上安装SSL(手动安装)

对于专用服务器或VPS上的Nginx服务器:

  1. 将您的证书和中间链合并到一个文件中:
cat yourdomain.crt yourdomain.ca-bundle > yourdomain_combined.crt
  1. 编辑您的Nginx服务器块配置:
server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    root /var/www/html;

    ssl_certificate /etc/ssl/certs/yourdomain_combined.crt;
    ssl_certificate_key /etc/ssl/private/yourdomain.key;

    # Modern SSL configuration
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;

    # HSTS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
  1. 测试配置并重新加载Nginx:
sudo nginx -t
sudo systemctl reload nginx

第 5 步:验证 SSL 安装

安装后,在向用户宣布更改之前,确认您的证书已正确部署。

浏览器验证

  1. 在浏览器中使用 https://yourdomain.com 打开您的网站。
  2. 点击地址栏中的挂锁图标
  3. 选择证书(或*连接安全 → 证书有效*)。
  4. 验证以下内容:
  • 域名与您的网站匹配。
  • 证书由受信任的 CA 颁发。
  • 过期日期正确。

在线 SSL 检查工具

使用这些免费工具进行全面的技术审计:

工具URL检查内容
SSL Labsssllabs.com/ssltest完整的 TLS 配置、密码强度、协议支持
SSL Shoppersslshopper.com/ssl-checker.html证书链、过期时间、主机名匹配
Why No Padlockwhynopadlock.com混合内容问题
DigiCert SSL Checkerdigicert.com/help安装完整性

SSL Labs 上获得 A 或 A+ 等级表示配置优秀。

第 6 步:强制 HTTPS — 将所有 HTTP 流量重定向到 HTTPS

安装 SSL 不会自动将访问者从 http:// 重定向到 https://。您必须配置服务器端重定向以通用强制 HTTPS。

方法 1:Apache .htaccess 重定向

将以下内容添加到网站根目录中的 .htaccess 文件:

RewriteEngine On

# Redirect HTTP to HTTPS
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Optional: Force non-www to www (or vice versa)
RewriteCond %{HTTP_HOST} ^yourdomain.com [NC]
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [L,R=301]

方法 2:Nginx 服务器块重定向

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

方法 3:WordPress 网站

对于 WordPress,通过多个层更新您的 URL 并强制 HTTPS:

  1. 更新 WordPress URL:
  • 转到设置 → 常规
  • 将 *WordPress 地址 (URL)* 和 *网站地址 (URL)* 都从 http:// 更改为 https://
  • 点击保存更改
  1. 使用插件:
  • 安装 Really Simple SSL — 它会自动检测您的 SSL 证书并通过一次点击配置 HTTPS 重定向。
  • 或者,使用 WP Force SSL 获得更精细的控制。
  1. 更新 wp-config.php(适用于高级用户):
define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

第7步:修复混合内容问题

混合内容是指HTTPS页面加载HTTP资源(图像、脚本、样式表、iframe)。这会破坏挂锁图标并触发浏览器安全警告,削弱SSL建立的信任。

识别混合内容

  • 浏览器DevTools:打开Chrome DevTools(F12)→ Console标签。混合内容警告显示为黄色或红色警报。
  • 为什么没有挂锁:whynopadlock.com输入您的URL以获取详细报告。
  • SSL Labs:完整报告会标记混合内容问题。

修复混合内容

1. 更新HTML/模板中的硬编码HTTP链接:

在主题文件、模板和HTML中搜索http://yourdomain.com并替换为https://yourdomain.com

2. 更新数据库URL(WordPress):

使用Better Search Replace插件或运行此WP-CLI命令:

wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --skip-columns=guid

3. 使用内容安全策略(CSP)升级指令:

将此添加到您的服务器配置或.htaccess以自动升级不安全请求:

Header always set Content-Security-Policy "upgrade-insecure-requests"

4. 修复第三方资源:

对于外部资源(字体、脚本、分析),确保您通过其HTTPS URL加载它们。大多数主要CDN和服务原生支持HTTPS。

第8步:实施HTTP严格传输安全(HSTS)

一旦您确信HTTPS设置正常工作,请实施HSTS以指示浏览器*始终*为您的域使用HTTPS——即使用户手动输入http://

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

> 警告:仅在您完全承诺使用HTTPS后才启用HSTS。当HSTS处于活动状态时恢复到HTTP将使浏览器已缓存HSTS策略的用户无法访问您的网站。

稳定后,在hstspreload.org提交您的域到HSTS预加载列表以获得最大保护。

第9步:SSL证书续期和持续维护

SSL证书不是一次性设置。它们需要主动监控和及时续期,以避免服务中断。

续期时间表

证书类型有效期续期建议
Let’s Encrypt90天使用Certbot cron任务自动化
商业DV/OV/EV1–2年在过期前30天续期

自动化Let’s Encrypt续期

Certbot会自动安装cron任务或systemd计时器。验证它是否处于活动状态:

# Check Certbot timer
sudo systemctl status certbot.timer

# Test renewal process (dry run)
sudo certbot renew --dry-run

SSL监控最佳实践

  • 设置日历提醒,在证书过期前30天和60天提醒。
  • 使用监控工具,如UptimeRobot或StatusCake,它们提供SSL过期警报。
  • 定期检查证书状态,通过SSL Labs或您的主机控制面板。
  • 监控证书透明度日志,访问crt.sh以检测为您的域颁发的未授权证书。

为 SSL 支持选择合适的托管

SSL 安装和管理的便利性在很大程度上取决于您的托管环境。以下是快速比较:

托管类型SSL 管理最适合
共享托管通过控制面板自动化 (AutoSSL)小型网站、初学者
VPS 托管完全手动或基于面板的控制成长中的企业、开发人员
独立服务器完全控制、自定义配置高流量、企业网站

AlexHost 在所有托管层级提供 SSL 支持:

  • 共享网络托管 — 适合个人网站和小型企业,集成自动化 Let’s Encrypt。
  • VPS 托管 — 完全 root 访问权限,用于自定义 SSL 配置,非常适合开发人员和不断增长的应用程序。
  • 独立服务器 — 企业级 SSL 管理,具有完整的服务器控制权。
  • VPS 控制面板 — 通过直观的图形界面在您的 VPS 上管理 SSL 证书。

关于SSL安装的常见问题

Q: 迁移网站后需要重新安装SSL吗?

是的。SSL证书与服务器和域名绑定。迁移后,您需要转移证书文件或在新服务器上颁发新证书。

Q: 我可以在多个域名上使用同一个SSL证书吗?

只有在您拥有多域名(SAN)或通配符证书时才可以。标准DV/OV/EV证书仅覆盖单个域名(以及可选的www子域名)。

Q: 如果我的SSL证书过期会怎样?

浏览器将显示整页安全警告,阻止访问您的网站。访问者需要手动绕过警告才能继续 — 大多数人不会这样做。过期的证书也会使HTTPS失效,使您的用户面临安全风险。

Q: Let's Encrypt SSL与付费证书一样安全吗?

从密码学角度来说,是的。Let's Encrypt使用与商业证书相同的2048位或4096位RSA加密。区别在于验证级别和保修,而不是加密强度。

Q: SSL会影响网站速度吗?

现代TLS 1.3的性能开销极小。使用HTTP/2(需要HTTPS),您的网站实际上可能比HTTP加载*更快*,因为有多路复用和报头压缩。

结论

安装 SSL 证书是保护您的网站、保护用户和改进搜索引擎排名的最有影响力的步骤之一。通过遵循本指南 — 从选择正确的证书类型和生成 CSR,到强制实施 HTTPS、解决混合内容和自动化续期 — 您可以建立一个随着网站增长而扩展的强大安全基础。

无论您是在共享网络托管上运行简单博客、在 VPS 上运行动态应用程序,还是在专用服务器上运行高流量平台,AlexHost 都提供基础设施和工具,使 SSL 部署无缝且可靠。

不要等待安全事件发生再采取行动 — 立即使用来自 AlexHost 的可信 SSL 证书保护您的网站。