第一步：理解核心概念：什么是SSL证书？
简单来说，SSL证书就像一个网站的“数字身份证”。它安装在网站服务器上，实现两个核心功能：
1、加密数据传输：在用户的浏览器和网站服务器之间建立一个加密的通道，防止敏感信息（如密码、信用卡号）在传输过程中被窃取。
2、身份验证：向访客证明这个网站是真实合法的，而不是一个钓鱼网站。
当网站安装了SSL证书后，浏览器地址栏会显示一把“锁”的图标，并且网址以 https:// 开头（其中的“s”就代表安全）。

第二步：申请前的准备工作
在开始申请之前，你必须确保拥有以下两项：
1、独立的服务器与根权限：
你需要在你的服务器（如Nginx, Apache, IIS等）上生成证书签名请求文件。
如果你使用的是虚拟主机或云托管服务（如阿里云、腾讯云、cPanel等），请确保你拥有管理SSL证书的权限。
2、确保证书中的域名指向你的服务器：
无论你申请的是单域名、多域名还是通配符证书，证书中包含的域名必须已经正确解析（A记录或CNAME记录）到你的服务器IP地址。因为后续需要进行域名所有权验证。

第三步：详细的申请流程
整个申请流程可以概括为以下几个步骤，下图清晰地展示了这一过程：

下面我们来详细讲解图中的每一个环节。
环节一：生成CSR文件
CSR是向证书颁发机构申请证书的正式文件，里面包含了你的网站和公司信息。
1、如何生成？
使用服务器管理面板（推荐新手）：如cPanel、Plesk、宝塔面板等都有图形化界面，点击“生成SSL证书”或“管理SSL”即可一键创建CSR。
使用命令行（通用方法）：在Linux服务器上使用OpenSSL命令。
bash
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.com.key -out yourdomain.com.csr
·执行命令后，会提示你输入一些信息：
Common Name：最重要，填写你要加密的完整域名（例如 www.yourdomain.com 或 yourdomain.com）。
Organization：组织名称（公司全称），申请OV/EV证书时必须真实。
Organization Unit：部门名称。
City/Locality：城市。
State/Province：省/州。
Country：国家代码（CN）。

2、生成后你会得到两个文件：
yourdomain.com.key：私钥文件。这是绝密文件，绝对不能泄露！它需要在你安装证书时使用。
yourdomain.com.csr：证书签名请求文件。申请时需要将这个文件的内容提交给CA。

环节二：选择CA并提交申请
你可以从多种渠道获取SSL证书：
1、云服务商（推荐）：
优点：管理方便，与云产品集成度高，经常有免费证书。
举例：
阿里云 -> 数字证书管理服务
腾讯云 -> SSL证书
华为云/百度云等也有类似服务。
2、专业的证书颁发机构：
优点：品牌信誉好，兼容性极佳，支持所有类型的证书。
举例：DigiCert, GeoTrust, Thales, Sectigo等。
3、免费证书颁发机构：
最著名：Let‘s Encrypt。
优点：完全免费，自动化程度高。
缺点：有效期短（90天），需要配置自动续期；通常只提供DV证书。
工具：Certbot可以帮你自动化申请和部署Let‘s Encrypt证书。
在CA网站的操作：
选择你需要的证书类型（见第四步），将之前生成的CSR文件内容粘贴到网页的对应文本框中，然后提交申请。
环节三：完成域名所有权验证
提交申请后，CA需要确认你对该域名拥有控制权。主要有两种方式：
文件验证：
CA会给你一个验证文件（比如 xxxxxxxx.txt）。
你需要将这个文件上传到你网站根目录下的一个特定路径（比如 http://yourdomain.com/.well-known/pki-validation/xxxxxxxx.txt）。
CA会通过HTTP访问这个文件，以确认你对网站服务器有控制权。
DNS验证：
CA会给你一条特殊的DNS记录值（TXT记录）。
你需要登录你的域名DNS管理后台，添加这条TXT记录。
CA会查询DNS，如果记录值匹配，则验证通过。
优点：即使你的网站服务器还没搭建好，也可以完成验证。
组织信息验证（仅OV/EV）：
除了域名验证，CA还会通过第三方数据库核实你提交的公司信息，甚至可能会打电话确认。
验证通过后，CA通常会通过邮件将签发好的证书文件（通常是 .crt 或 .pem 格式）发送给你，或者让你在后台直接下载。
环节四：安装证书到服务器
拿到证书文件后，你需要将它和之前生成的私钥一起配置到你的网站服务器上。
使用服务器管理面板：在SSL管理界面，上传你的证书文件（.crt）和私钥文件（.key）。面板会自动完成配置。
手动配置服务器：
Nginx：修改nginx.conf，在server块中指定 ssl_certificate（证书路径）和 ssl_certificate_key（私钥路径）。
Apache：修改httpd.conf，在VirtualHost块中指定 SSLCertificateFile 和 SSLCertificateKeyFile。
IIS：使用IIS管理器中的“服务器证书”功能导入证书。
安装后务必重启Web服务，然后通过 https://你的域名 测试是否成功。
第四步：选择适合你的SSL证书类型

1、类型：域名型

·英文：DV

·验证级别：基础验证

·特点：只验证域名所有权，签发速度快（几分钟），免费或价格低。

·适用场景：个人网站、博客、测试环境

2、类型：企业型

·英文：OV

·验证级别：组织验证

·特点：需验证企业真实性，在证书中显示公司信息，安全性更高。

·适用场景：企业官网、电子商务网站

3、类型：增强型

·英文：EV

·验证级别：扩展验证

·特点：最严格的验证，浏览器地址栏会显示绿色企业名称。

·适用场景：银行、金融、大型电商等对信任度要求极高的网站

4、类型：单域名

·英文： -

·验证级别： -

·特点：只保护一个域名（可以是带www或不带）。

·适用场景：只有一个域名的简单网站

5、类型：多域名

·英文：SAN

·验证级别： - 

·特点：一张证书可以保护多个不同的域名。

·适用场景：拥有多个不同域名的企业

6、类型：通配符

·英文：Wildcard

·验证级别： -

·特点：保护一个域名及其所有同级子域名（例如 *.yourdomain.com)。

·适用场景：拥有大量子域名（如blog., shop., api.）的网站

来源声明：以上内容部分(包含图片、文字)来源于网络，如有侵权，请及时与本站联系（400-0510-860）。