证书安装
SSL/TLS 证书安装是指将签发的证书文件(含证书链和私钥)正确部署到 Web 服务器、负载均衡器或反向代理等终端上,使 HTTPS 连接可被浏览器验证并建立加密通道。安装本身不改变证书内容,但配置错误会导致证书不可信、链路中断或浏览器显示“NET::ERR_CERT_AUTHORITY_INVALID”等错误。
典型安装需提供三类文件:① 域名证书(domain.crt 或 certificate.pem);② 中间证书(ca-bundle.crt 或 chain.pem),用于补全信任链;③ 私钥文件(private.key),必须与申请时生成的 CSR 对应。Nginx 要求证书与中间证书合并为单个 PEM 文件;Apache 需分别指定 SSLCertificateFile 和 SSLCertificateChainFile;IIS 则通过 GUI 导入 PFX(含私钥的 PKCS#12 容器)。
安装后须验证证书链完整性。可使用 ssl证书工具 中的「SSL 检查」功能,或命令行执行:openssl s_client -connect example.com:443 -showcerts,确认返回的证书链包含域名证书→中间证书→根证书,且无缺失或顺序错乱。
需要注意的情况
- 私钥权限不当(如 Linux 下设为 644)可能导致 Nginx/Apache 启动失败,生产环境建议设为
600并属主为运行用户(如www-data) - 未正确配置中间证书时,部分旧客户端(如 Android 4.x、Windows XP IE8)因缺乏内置中间根而无法构建信任链,表现为证书不受信
- 多域名或泛域名证书需确保 SNI(Server Name Indication)在服务器中启用,否则虚拟主机场景下可能返回错误证书
- 若使用 免费ssl证书(如 Let’s Encrypt),需配合自动化工具(certbot / acme.sh)实现续期,手动安装的证书过期后不会自动更新
京公网安备11010502031690号
网站经营企业工商营业执照
