网站域名如何设置二级域名的 SSL 证书
在互联网安全愈发重要的当下,为网站域名设置二级域名的 SSL 证书,已成为保障数据传输安全、提升用户信任度的关键举措 。以下为您详细介绍设置流程 。
一、确定证书类型
- 单域名证书:若您仅需保护单个特定的二级域名,如 “blog.yourdomain.com”,单域名证书是理想选择。它仅针对指定的这一个二级域名提供加密保护 。
- 通配符证书:当您需要保护某个二级域名下的所有子域名时,通配符证书优势显著。例如,您有 “shop.yourdomain.com”,且希望 “product.shop.yourdomain.com”“promotion.shop.yourdomain.com” 等所有以 “shop.yourdomain.com” 为前缀的子域名都能得到保护,通配符证书(格式如 “*.shop.yourdomain.com”)就能满足需求 。
- 多域名证书(SAN 证书):如果您有多个不同的二级域名需要同时使用一张证书进行保护,像 “blog.yourdomain.com”“forum.yourdomain.com” 等,多域名证书可将这些不同的二级域名整合在一张证书内,实现统一保护 。
二、生成证书签名请求(CSR)
- 准备工作:确保您的服务器环境具备生成 CSR 的工具,常见的如 OpenSSL(大多数 Linux 服务器默认安装) 。
- 生成私钥:使用命令行工具,进入到合适的目录(如 /etc/ssl/private/),执行生成私钥的命令,以 OpenSSL 为例,命令为openssl genrsa -out yourdomain.key 2048 。这里 “yourdomain.key” 是您自定义的私钥文件名,2048 表示密钥长度,推荐使用 2048 位或更高以保障安全性 。
- 创建 CSR 文件:私钥生成后,接着创建 CSR 文件。执行命令openssl req -new -key yourdomain.key -out yourdomain.csr 。在执行过程中,系统会提示您输入一系列信息,包括国家、地区、城市、组织名称、组织单位名称、通用名称(这里需填写您要申请证书的二级域名,如 “blog.yourdomain.com”)以及电子邮件地址等 。准确填写这些信息,它们将包含在 CSR 文件中,用于证书颁发机构(CA)对您的身份和域名进行验证 。
三、选择证书颁发机构(CA)
- 知名 CA 推荐:市场上有众多 CA 提供商,如国际知名的 DigiCert、GlobalSign、Comodo、Sectigo、GeoTrust、Thawte 等 。这些品牌在全球范围内被广泛认可,其颁发的证书兼容性强,几乎能被所有主流浏览器和设备识别 。同时,也有一些国内优秀的 CA 机构,在符合国内相关规定和标准的前提下,提供可靠的证书服务 。
- 考虑因素:选择 CA 时,除了品牌知名度,还需考量其信誉、证书价格、技术支持服务以及证书的有效期等因素 。例如,有些 CA 提供免费的 SSL 证书,但可能在功能或有效期上有所限制;而商业证书虽需付费,但通常能提供更高级别的安全保障和更优质的服务 。
四、提交 CSR 并验证域名所有权
- 提交 CSR:在选定的 CA 机构网站上,找到证书申请入口,按其要求填写相关信息,并上传之前生成的 CSR 文件 。
- 域名验证方式:
-
- 邮箱验证:CA 会向您在 CSR 中填写的邮箱地址或域名 WHOIS 信息中的邮箱发送验证邮件 。您需登录邮箱,点击邮件中的验证链接或按照邮件指示完成验证操作 。
-
- DNS 验证:CA 会要求您在域名解析设置中添加特定的 TXT 记录 。您登录域名注册商的管理后台,在域名解析设置处添加相应的 TXT 记录,记录内容由 CA 提供 。添加完成后,CA 通过查询该 TXT 记录来验证您对域名的所有权 。
-
- 文件验证:CA 会指定一个文件路径和文件名,您需将 CA 提供的特定文件上传至网站的根目录下 。CA 通过访问该文件路径来确认您对域名的控制权 。
若申请的是 OV(组织验证)或 EV(扩展验证)证书,除域名验证外,还需进行企业或组织身份验证 。这通常要求您提交企业营业执照、组织机构代码证等相关资料,CA 会对这些资料进行审核,以确认您的组织身份真实性 。
五、安装证书
- 下载证书:域名所有权验证通过后,CA 会签发 SSL 证书 。您在 CA 机构网站的证书管理页面,找到已签发的证书,根据服务器类型(如 Nginx、Apache、IIS 等)下载相应格式的证书文件 。一般证书文件包括证书文件(.crt 或.pem 格式)和私钥文件(.key 格式),有些 CA 还会提供中间证书文件(用于构建完整的证书链) 。
- 服务器配置:
-
- Nginx 服务器:打开 Nginx 的配置文件(通常位于 /etc/nginx/conf.d/ 目录下,文件名以.conf 结尾),在对应的二级域名服务器配置块中添加或修改以下内容:
server {
listen 443 ssl;
server_name your_secondary_domain.com; # 替换为您的二级域名
ssl_certificate /path/to/your_certificate.crt; # 证书文件路径
ssl_certificate_key /path/to/your_private_key.key; # 私钥文件路径
# 以下为可选的SSL相关配置优化
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!MD5;
ssl_prefer_server_ciphers on;
location / {
# 您的网站根目录和其他配置
root /path/to/your_website_root;
index index.html index.htm;
}
}
修改完成后,保存配置文件,通过命令sudo nginx -t检查配置文件语法是否正确,若无误,执行sudo systemctl restart nginx重启 Nginx 服务,使证书配置生效 。
- Apache 服务器:进入 Apache 的配置文件目录(通常为 /etc/httpd/conf/ 或 /etc/apache2/),找到 httpd.conf 或 apache2.conf 文件,在其中添加或修改与二级域名相关的虚拟主机配置:
<VirtualHost *:443>
ServerName your_secondary_domain.com # 替换为您的二级域名
DocumentRoot /path/to/your_website_root # 网站根目录
SSLEngine on
SSLCertificateFile /path/to/your_certificate.crt # 证书文件路径
SSLCertificateKeyFile /path/to/your_private_key.key # 私钥文件路径
# 若有中间证书,添加以下行
SSLCertificateChainFile /path/to/your_intermediate_certificate.crt
</VirtualHost>
保存文件后,使用命令sudo apachectl configtest检查配置语法,若通过,执行sudo systemctl restart httpd(CentOS 系统)或sudo systemctl restart apache2(Ubuntu 系统)重启 Apache 服务 。
- IIS 服务器:打开 IIS 管理器,在左侧导航栏中找到您的二级域名站点,右键点击选择 “编辑绑定” 。在弹出的 “网站绑定” 对话框中,点击 “添加” 按钮,选择 “类型” 为 “https”,在 “SSL 证书” 下拉菜单中选择您刚安装的证书(若未显示,需先将证书导入到服务器的证书存储区中),然后点击 “确定” 。
完成上述安装和配置步骤后,使用浏览器访问您的二级域名,地址栏应显示安全锁标志,表明 SSL 证书已成功安装并生效,二级域名的数据传输已得到加密保护 。
