HTTPS证书申请:从零开始的完整流程与工程实践
HTTPS证书申请不是简单点击“下一步”,而是涉及域名控制权验证、CA合规审核、密钥安全生成和服务器部署四个关键环节。所有主流浏览器信任的SSL证书都必须符合CA/Browser Forum Baseline Requirements,且自2025年起新签发证书有效期不得超过90天。未按规范完成证书链配置或使用弱加密套件,将导致Chrome、Edge等现代浏览器直接阻断连接。
HTTPS证书申请的技术本质
证书申请 ≠ 下载文件,而是建立可信身份锚点
HTTPS证书申请的核心是向受信CA(如Sectigo、Digicert、锐安信)证明你对目标域名拥有完全控制权。CA不会验证网站内容或业务合法性,只校验域名所有权(DV)、组织真实性(OV)或法律实体资质(EV)。整个过程依赖PKI体系中的三重信任锚:根CA证书预置在操作系统/浏览器中 → 中间CA由根CA签名 → 网站证书由中间CA签名。任意一级缺失或签名不匹配,都会触发NET::ERR_CERT_AUTHORITY_INVALID错误。
CSR生成是不可逆的安全起点
证书签名请求(CSR)必须在目标服务器本地生成,使用2048位RSA或256位ECDSA私钥。私钥绝不能上传至任何第三方平台——这是PKI信任模型的基石。我们曾遇过客户在非专业平台生成CSR后私钥泄露,被迫全站轮换密钥并重新验证,耗时超72小时。推荐使用OpenSSL命令行生成:openssl req -new -key domain.key -out domain.csr -sha256,并确保-subj参数中CN字段精确匹配主域名(如www.example.com)。
HTTPS证书申请的工程实操步骤
域名验证:DNS方式已成为事实标准
自2021年12月起,CA/B Forum强制要求通配符证书(*.example.com)禁用文件验证(HTTP-01),仅支持DNS-01或邮箱验证。生产环境中强烈推荐DNS验证:在域名DNS服务商处添加一条TXT记录,值为CA提供的随机字符串。该记录需全球DNS解析生效(TTL建议设为60秒),验证超时通常为30分钟。注意:阿里云DNS需在“解析设置”中选择“其他”类型而非“TXT”,否则可能因格式截断失败。
证书签发与下载:格式选择决定部署效率
签发成功后,务必下载完整的证书链(含根证书、中间证书、站点证书),而非仅站点证书。Nginx/Apache需.pem格式;Windows IIS需.pfx(含私钥);Java Tomcat常用.jks。若漏掉中间证书,将出现“证书链不完整”警告——这是2026年TopSSL技术支持中占比37%的首因故障。可使用SSL证书链下载工具自动补全缺失层级。
| 环节 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| CSR密钥长度 | RFC 8659 要求 ≥2048位RSA | 生产环境强制使用3072位RSA或P-384 ECDSA;避免SHA-1签名 |
| 证书有效期 | CA/B Forum BR 2.8.1(2025年新规) | 默认申请90天;企业级OV/EV证书支持分段续期,规避集中过期风险 |
| 部署验证 | Google Chrome 128+ TLS 1.3强制要求 | 部署后立即用SSL证书检查工具验证OCSP Stapling与HSTS预加载状态 |
常见问题
Q:申请免费SSL证书需要什么条件?
A:仅需能修改域名DNS记录或网站根目录文件权限,个人/企业均可申请。但免费证书(如Let's Encrypt)不提供企业身份展示、无保险赔付,且单域名限制每週5次签发。
Q:HTTPS证书申请后为什么浏览器仍显示不安全?
A:92%案例源于混合内容(HTTP资源加载)或证书链不完整。请检查页面所有
京公网安备11010502031690号
网站经营企业工商营业执照
