SSL证书配置全攻略：从购买到安装，手把手操作指南

上一篇文章讲了为什么要装SSL证书，这篇文章讲怎么装。本文提供阿里云环境下SSL证书从购买到Nginx/Apache配置的完整操作指南，看完就能上手操作。

一、SSL证书购买流程（以阿里云为例）

第一步：进入SSL证书页面
登录阿里云官网，搜索”SSL证书”或直接访问阿里云SSL证书控制台（ Alibaba Cloud SSL Certificates）。

第二步：选择证书类型

• DV SSL（域名型）：个人或小型网站，仅验证域名所有权，10分钟签发，价格0-200元/年
• OV SSL（企业型）：企业网站，验证企业身份，1-3个工作日签发，价格500-3000元/年
• EV SSL（增强型）：高安全场景，浏览器地址栏显示企业名称，价格3000+/年

第三步：选择保护域名数量

• 单域名证书：保护1个域名，如 www.example.com
• 通配符证书（Wildcard）：保护1个域名及所有子域名，如 *.example.com，价格约单域名的5倍
• 多域名证书：一张证书保护多个不同域名

第四步：填写信息并支付
填写域名、企业信息（OV/EV需提供营业执照），完成支付。

二、域名验证（DNS验证）

证书购买后，需要验证你对该域名的所有权。DNS验证是最常用的方式。

操作步骤：

1. 在阿里云SSL证书控制台，找到新购买的证书，查看”验证信息”。

2. 登录阿里云域名控制台（或你的域名注册商），添加一条TXT记录：

• 记录类型：TXT
• 主机记录：@（或按提示填写）
• 记录值：按证书控制台提示填写（类似：20231213000000xxxxxxxxxxxxx.dcsi.cn）

3. 添加完成后，等待CA机构验证（通常10分钟-2小时）。

4. 验证通过后，证书状态变为”已签发”，可以下载证书文件了。

三、下载SSL证书文件

证书签发后，在阿里云SSL证书控制台点击”下载”，选择服务器类型：

• Nginx服务器 → 下载 .pem 和 .key 文件
• Apache服务器 → 下载 .crt 和 .key 文件
• IIS服务器 → 下载 .pfx 文件
• 宝塔面板 → 直接在宝塔中一键部署，无需手动配置

四、Nginx配置SSL证书（最常用）

1. 上传证书文件到服务器
使用scp或SFTP工具，将证书文件上传到服务器目录，如 /etc/nginx/ssl/。

2. 修改Nginx配置文件
在 /etc/nginx/conf.d/ 或 /etc/nginx/sites-available/ 中找到你的网站配置文件，添加SSL配置：

server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate /etc/nginx/ssl/yourdomain.com.pem;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.com.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    root /var/www/html;
    index index.html index.php;
    # ... 其他配置 ...
}

# HTTP强制跳转HTTPS
server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$server_name$request_uri;
}

3. 检查配置并重载Nginx

# 检查配置语法
nginx -t

# 重载Nginx
nginx -s reload

五、Apache配置SSL证书

1. 启用SSL模块

a2enmod ssl
a2ensite default-ssl
systemctl reload apache2

2. 编辑SSL配置文件
编辑 /etc/apache2/sites-available/default-ssl.conf：

ServerName yourdomain.com
SSLEngine on
SSLCertificateFile /etc/ssl/certs/yourdomain.com.crt
SSLCertificateKeyFile /etc/ssl/private/yourdomain.com.key
SSLCertificateChainFile /etc/ssl/certs/yourdomain.com.ca-bundle

3. 重启Apache

systemctl restart apache2

六、宝塔面板一键部署SSL（最简单，推荐新手）

如果你使用的是宝塔面板（BT Panel），部署SSL只需要3步：

步骤1：登录宝塔面板，点击网站 → 找到你的网站 → 点击”设置”。

步骤2：点击左侧”SSL”标签。

步骤3：选择”Let’s Encrypt”（免费证书）或”其他证书”（付费证书），按提示操作，一键部署完成。

Let’s Encrypt证书有效期90天，宝塔会自动续期，完全不用手动操作。

七、WordPress网站SSL配置注意事项

WordPress网站安装SSL证书后，还需要做以下两步：

1. 登录后台修改WordPress地址
登录WordPress后台 → 设置 → 常规，将WordPress地址和站点地址从http://改为https://。

2. 批量替换数据库中的http链接
网站文章和图片中可能包含旧的http://链接，使用插件（如Better Search Replace）批量替换为https://。

八、SSL证书续费与更新

续费时间：建议在证书到期前30天开始续费，避免过期导致网站无法访问。

续费流程：在SSL证书控制台找到即将过期的证书，点击”续费”，完成支付后重新进行DNS验证并下载新证书文件。

自动续期（Let’s Encrypt）：使用宝塔面板或certbot自动续期，证书会自动更新，无需手动处理。

九、SSL配置常见问题

Q：证书安装后浏览器显示”证书无效”怎么办？
A：常见原因：①证书绑定的域名与访问域名不一致 ②网站引用了http资源（图片/CSS/JS），需全部改为https ③证书链不完整，需同时上传.ca-bundle文件

Q：多个子域名都需要SSL，一一购买太贵怎么办？
A：购买通配符证书（*.yourdomain.com），一个证书覆盖所有子域名。

Q：HTTP可以访问，HTTPS无法访问怎么办？
A：检查443端口是否已在服务器防火墙和安全组中开放。

总结

SSL证书配置的核心流程：购买证书 → DNS验证 → 下载证书文件 → 上传到服务器 → 配置服务器启用HTTPS → 强制HTTP跳转HTTPS。

使用宝塔面板是最简单的方式，新手也能5分钟完成配置。有技术能力的企业，建议使用Nginx手动配置，获得更好的性能和安全参数。

瀚煜云提供SSL证书购买、部署、续费一站式服务，帮企业快速完成全站HTTPS升级。