SSL
本文将介绍如何配置站点SSL证书。
SSL证书可以帮助我们保护在互联网上进行的通信和数据传输的安全性和隐私性。
SSL证书适用场景:使用SSL证书可以保护你输入的敏感信息(如账号密码、信用卡号等)不被黑客窃取,通过Https通信加密的方式,确保信息传输过程中的安全性和隐私性。
同时,SSL证书还可以帮助网站提升在搜索引擎中的排名,让用户更容易找到并使用这些网站。
操作步骤
-
登录宝塔面板。点击左侧导航栏的
网站,进入网站列表页面。 -
选择需要管理域名的站点,点击对应站点的域名
-
在弹出的窗口中,点击左侧导航栏的
SSL,进入SSL配置页面。
证书类型
- 第三方SSL证书
- 商用SSL证书
- 测试证书
- Let's Encrypt
支持添加第三方生成的证书,根据格式要求填写key、pem证书文件内容即可完成SSL部署。
- 粘贴您的*.key以及*.pem内容,然后保存即可。
- 如果浏览器提示证书链不完整,请检查是否正确拼接PEM证书
- PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt
- 在未指定SSL默认站点时,未开启SSL的站点使用HTTPS会直接访问到已开启SSL的站点
- 如开启后无法使用HTTPS访问,请检查安全组是否正确放行443端口
证书文件格式要求
证书文件目录
大部分免费证书(指阿里/腾讯申请的),都会有以下四个文件夹。面板只需要用到nginx或apache的,其他无需理会。
Nginx环境配置证书方法(证书目录只有两个文件的):
进入nginx(证书)目录,有以下两个文件
其中红框.key后缀的是服务器私钥,填入面板证书的左边红框中(用文本编辑器完整复制粘贴进去)
蓝框.crt后缀的是证书(也可能是pem后缀),填入面板证书的右边蓝色框中(用文本编辑器完整复制粘贴进去)
然后保存即可。
Apache环境配置证书方法(证书目录有三个文件的):
进入apache(证书)目录,有以下三个文件
其中红框.key后缀的是服务器私钥,填入面板证书的左边红框中(用文本编辑器完整复制粘贴进去)
蓝框域名证书紫框root根证书两张证书则需要合并填入面板证书的右边蓝框中(用文本编辑器完整复制粘贴进去)
若不合并只填蓝框域名证书手机访问就会报缺失证书链/不安全等同时
若顺序不正确会导致apache无法正常启动
证书合并步骤:
以下是文本编辑器里的截图,蓝色域名证书放上面的蓝框中紫框root根证书放下面的紫框中(注意完整)
保存即可。
需要注意的是,开启ssl之后,其他未开启ssl的站点用https访问会自动访问到已部署好ssl的站点。
若安全组未放行443(ssl)端口,会造成无法https访问。
大部分免费CDN不支持SSL,若有用CDN无法正常访问的,可以尝试关闭访问。
若要开启强制https,请确保自己站点没有做其他301跳转(伪静态/js)。
宝塔提供商用SSL证书购买,根据实际需求来进行购买使用。
- 证书支持购买多年,只能一��年签发一次(有效期一年),需在到期前30天内续签(续签暂不需要验证域名)。
- 申请www.bt.cn这种以www为二级域名的证书,需绑定并解析顶级域名(bt.cn),否则将验证失败。
- 商用证书相对于普通证书,具有更高的安全性、赔付保障和支持通配符和多域名等方式。
- 如果您的站点有使用CDN、高防IP、反向代理、301重定向等功能,可能导致验证失败
宝塔面板提供用于站点测试使用的“测试证书”生成,测试证书申请的是免费版TrustAsia DV SSL CA - G5证书,仅支持单个域名申请,合适测试站点用户使用。
- 申请之前,请确保域名已解析/未开启301/未开启反向代理等,否则导致审核失败(包括根域名),需关闭301/反向代理后等待3小时后重新申请,您也可以在官网更换为DNS验证则不需要等待。
- 宝塔SSL申请的是免费版TrustAsia DV SSL CA - G5证书,仅支持单个域名申请。
- 有效期90天,不支持续签,到期后需要重新申请,每个账号申请数量上限为5张。
- 建议使用二级域名为www的域名申请证书,此时系统会默认赠送顶级域名为可选名称
- 在未指定SSL默认站点时,未开启SSL的站点使用HTTPS会直接访问到已开启SSL的站点
- 请勿将SSL证书用于非法网站,一经发现,吊销证书。
- 因CA提供方检测到滥用行为,目前个人申请免费SSL最多申请20张
- 如果你的系统时windows 2008 + IIS环境,您的服务器将只允许使用一个SSL,由于IIS7限制,一个IP只允许绑定一个SSL,多次绑定将会替换之前的SSL
Let's Encrypt 免费证书,有效期3个月,支持多域名,宝塔面板支持自动续签功能。
- 请勿将SSL证书用于非法网站
- 若您的站点使用了CDN或301重定向会导致续签失败