那个SSL证书是啥玩意儿那个？为啥要搞它？

啊这... 哎，你有没有发现，现在打开有些网站，地址栏左边有个小锁，有的没有？有锁的就是平安的，没有锁的就是裸奔的，容易被黑客偷东西！那个小锁就是SSL证书搞出来的，SSL证书就像网站的身份证，证明你是真的，不是骗子。没有它，别人输入的用户名、密码、银行卡号，都能被中间人偷走，太可怕了！所以不管你是做个人博客，还是开网店，都得搞一个SSL证书，不然网站就是不平安的，谁敢来啊？

SSL证书这东西，说简单也简单，说复杂也复杂，反正就是得搞。搞了之后你的网站就变成HTTPS了HTTP是裸奔的， 盘它。 HTTPS是穿衣服的，平安多了！今天我就教你咋申请SSL证书，一步一步来包你会，别慌，跟着我弄就行。

先搞懂SSL证书有哪几种， 别瞎选

SSL证书有好几种，不是随便选一个就行的，选错了麻烦。我给你说说最常见的三种：，共勉。

第一种叫DV证书，全称是域名验证型证书。这种最简单，最便宜，甚至免费的都有。它只验证你是不是这个域名的主人， 比如你的域名是www.a.com，你证明你是a.com的老板就行，不需要搞公司证明，几分钟就能下来快的很！适合个人博客、小网站，没啥敏感信息的，随便用用。

第二种叫OV证书，全称是组织验证型证书。这种比DV麻烦一点， 除了验证域名，还要验证你的公司是不是真的，得给CA机构看营业执照、组织机构代码证这些文件，人工审核，可能要几天。适合企业网站、电商网站，需要让用户相信你是正规公司的，用OV证书显得靠谱，可不是吗！。

划水。 第三种叫EV证书，全称是 验证型证书。这种最牛，最贵，审核最严！CA机构会查你祖宗十八代，公司背景、经营情况都得查清楚，审核可能要一周甚至更久。审核通过了地址栏不仅有小锁，还会显示公司名称，比如“某某科技有限公司”，一看就很正规！适合银行、政府、大企业这种敏感行业，必须用EV证书，不然用户不信任。

反正就是个人用DV，企业用OV，大公司用EV，别搞错了搞错了白花钱，还耽误事，客观地说...。

找谁申请SSL证书？CA机构是啥？

SSL证书不是你想申请就能申请的， 得找CA机构，CA机构就是证书颁发机构，他们负责发证书，他们发的证书才被浏览器承认，不然你搞个假的，浏览器显示不平安，白搞了！

常见的CA机构有好多， 比如国外的Symantec、DigiCert、GlobalSign，这些都是老牌的，贵但靠谱。国内的也有，比如西部数码、阿里云、腾讯云，他们也有自己的CA，便宜点，适合国内用户，闹乌龙。。

选CA机构看啥？看口碑、看价格、看服务。口碑好的， 证书才被信任；价格贵的肯定便宜，但别太便宜，便宜没好货， 总结一下。 特别是免费的，要小心；服务好，你有问题能找到客服帮你解决，不然出了问题没人管，哭都没地方哭。

有啥说啥... 我推荐新手用西部数码， 他们搞了20年了老牌服务商，域名、主机、SSL证书都能搞，一站式服务，不用跑来跑去，客服也耐心，不懂就问，他们会告诉你咋弄。或者用阿里云、腾讯云，大平台，靠谱。

申请SSL证书要准备啥材料？别到时候抓瞎

申请SSL证书前，得准备点东西，不然申请到一半卡住了麻烦。根据证书类型准备：，整起来。

要是申请DV证书，简单！只需要证明你是域名的主人就行。比如你的域名是在阿里云买的， 你就用阿里云的账号登录，证明你有管理权限就行；或者你在域名管理后台加个TXT记录，按照CA机构的指示加，加好了就行。不需要营业执照，不需要身份证，啥都不用，只要域名是你的就行。

心情复杂。 要是申请OV证书，麻烦点！除了域名，还得准备公司的证明文件，比如营业执照、组织机构代码证、公司地址证明，可能还要法人身份证。这些文件得清晰，不然审核不通过。CA机构会人工审核，看看你的公司是不是真的，别想骗他们，骗了就黑名单，以后再也申请不了了。

EV证书更麻烦！除了OV的那些材料， 还得提供更多公司背景资料，比如公司的经营范围、成立时间、股东信息，甚至可能要你签一份律法文件，保证公司合法经营。审核也严，CA机构会打 实际上... 反正就是 DV证书啥都不用准备，OV证书准备公司文件，EV证书准备更多文件，提前准备好，省得麻烦。 搞CSR文件，这个东西很重要，别弄丢 CSR文件是啥？就是证书签名请求文件，里面有你域名的信息、你的信息、还有那个公钥。 总结一下。 CA机构就是根据这个文件给你发证书的，所以这个东西很重要，别弄丢了别泄露了！ 又爱又恨。 咋生成CSR文件？用服务器上的工具， 比如Linux服务器用OpenSSL命令，Windows服务器用IIS管理器里的CSR生成工具。如果你不会用命令，没关系，很多CA机构提供在线CSR生成工具，你进去填信息就行，简单！ 生成CSR文件时要填的信息得准确，不然证书下来了不能用！要填域名、组织名称、城市、省份、国家代码、邮箱。这些信息要和你准备的材料一致，不然CA机构审核不通过。 说起来... 生成CSR文件后会得到两样东西：一个CSR代码，一个私钥。私钥很重要，一定要保存好，丢了证书就用不了了别给别人！ 把CSR代码复制下来提交给CA机构，他们就用这个代码给你发证书。私钥自己留着，后面安装证书要用。 提交申请， 等CA审核，别急 把CSR代码和申请材料提交给CA机构后就等他们审核吧。DV证书审核快， 几分钟到几小时就下来了；OV证书要人工审核，可能1-3天；EV证书最慢，可能3-7天，内卷...。 提交申请时 CA机构会让你选择证书的有效期，一般1年、2年、3年都有，越长越贵，但不用经常续费，省事。选好后付钱，然后等邮件通知，梳理梳理。。 你没事吧？ CA机构审核通过后会给你发邮件，告诉你证书下来了让你下载证书文件。证书文件有好几种格式， 比如.crt、.pem、.pfx，看你用啥服务器，Linux服务器用.crt或.pem，Windows服务器用.pfx。下载后保存好，别丢了！ 域名验证， 证明你是真的，不是骗子 CA机构收到你的CSR后会先验证你是不是域名的主人，这一步叫域名验证， 实不相瞒... DV证书必须做，OV/EV证书也要做。 在理。 域名验证有几种方式：最常见的是邮箱验证， CA机构会给你域名的注册邮箱发一封验证邮件，你点一下邮件里的链接就行；或者DNS验证，你在域名管理后台加一个TXT记录，记录值是CA机构给你的，加好后CA机构会去查，查到了就说明验证，你在网站根目录放一个指定的文件，CA机构去访问这个文件，能访问到就说明验证通过了。 验证方式CA机构会告诉你，按照他们的指示做就行。比如用邮箱验证， 就去邮箱找邮件，点链接；用DNS验证，就去域名后台加TXT记录，保存，等几分钟，再去CA机构后台确认验证。验证不通过就发不了得重新来，补救一下。。 我遇到过一次 验证邮箱没收到邮件，垃圾邮件箱找了半天才找到，差点以为没收到，搞错了！所以验证时仔细点，别漏了。 安装SSL证书， 再说说一步，搞定收工 证书下来了就该安装到服务器上了安装对了网站就平安了；安装错了还是不平安，白搞了！安装方法根据服务器类型不同， 也不一样，我给你说说常见的几种： 如果你用Linux服务器，安装比较简单。把下载的证书文件上传到服务器上，比如用FTP工具传到/etc/nginx/ssl/目录下。 坦白讲... 然后修改服务器的配置文件， 比如nginx.conf，在server块里加这几行： listen 443 ssl; ssl_certificate /etc/nginx/ssl/your_domain.crt; ssl_certificate_key /etc/nginx/ssl/your_domain.key; 保存配置文件，重启nginx服务器，然后用浏览器访问你的网站，看看地址栏有没有小锁， 醉了... 有就对了没有就检查配置文件有没有写错，文件路径对不对。 如果你用Windows服务器，安装也简单。下载的证书文件如果是.pfx格式，双击打开，按照提示导入到IIS里。 精辟。 然后在IIS管理器里找到你的网站，绑定HTTPS，选择导入的证书，保存，重启网站，就行了。 如果你用的是虚拟主机，不用自己搞服务器，虚拟主机提供商一般有SSL证书安装功能。登录虚拟主机管理后台， 找到SSL证书管理，上传你下载的证书文件，或者直接用他们的一键安装功能，保存，就行了。 安装完成后一定要测试一下！用浏览器访问你的网站， 看看地址栏有没有小锁，有没有显示“平安”；用SSL检测工具检测一下看看有没有漏洞，证书链对不对，加密协议对不对。如果有问题，赶紧修改，别留下平安隐患，纯属忽悠。。 免费SSL证书咋申请？省钱小技巧 不想花钱买SSL证书？没问题，有免费的！最出名的就是Let's Encrypt， 一个非营利组织，提供的SSL证书免费、可信，有效期3个月，到期了可以自动续费，开搞。。 申请Let's Encrypt证书也很简单， 用certbot工具，自动完成验证和安装。比如在Linux服务器上， 输入命令：，也是没谁了。 certbot --nginx certbot会自动检测你的nginx配置，帮你验证域名，生成证书， 恕我直言... 安装到nginx里全程自动，不用你手动搞，适合新手。 PTSD了... 除了Let's Encrypt， 有些CA机构也提供免费DV证书，比如西部数码的“免费快速申请”功能，同一主域最多申请20张，有效期1年，适合个人网站。申请流程和付费的差不多，只是不用花钱，但要记得续费，过期了网站就不平安了。 免费证书虽然省钱， 但缺点也很明显：有效期短，续费麻烦；不支持OV/EV证书，只能验证域名；有些免费证书有数量限制，比如一个域名只能申请一张。所以如果你是企业网站，还是建议买OV/EV证书，免费的不靠谱，摆烂。。 搞完SSL证书就平安了？别天真， 还得注意这些 搞了SSL证书，不是就一劳永逸了网站平安是个长期的事，还得注意以下几点： 第一，定期更新证书。SSL证书有有效期，过期了就失效了网站显示不平安。记得提前1-2个月续费，别等过期了才想起来到时候网站打不开，影响用户体验。Let's Encrypt证书可以用certbot自动续费， 付费的证书到期前CA机构会发邮件提醒你，及时续费就行，切记...。 第二，保持服务器平安。SSL证书只加密传输数据，不保护服务器本身。如果服务器被黑客入侵，证书也可能被偷，照样不平安。所以服务器要定期打补丁，用强密码，别装来路不明的软件，做好防火墙，防止黑客攻击。 第三，禁用不平安的加密协议和算法。有些老的加密协议和算法已经被证明不平安，容易被破解。要在服务器配置里禁用这些协议和算法， 只支持TLSv1.2、TLSv1.3这些新的协议，用AES、SHA-256这些平安的算法。 第四，定期检查SSL证书配置。用SSL检测工具定期检测一下网站的SSL配置， 看看有没有漏洞，比如证书链不完整、加密协议太弱、证书过期等问题，及时修复，确保网站平安，整起来。。 搞SSL证书就这么简单， 别怕，动手试试 说了这么多，其实搞SSL证书就那么几个步骤：选类型、找CA、准备材料、搞CSR、 物超所值。 验证、安装、更新。看起来麻烦，其实一步步来很简单，新手也能搞定。 挺好。 记住SSL证书对网站很重要，没有它，网站就是不平安的，没人敢用。别怕麻烦，花点时间搞一个，网站平安了用户体验好了生意才能好啊！ 如果你还是不会搞，别慌，找客服！CA机构、虚拟主机提供商都有客服， 归根结底。 他们会一步步教你，别不好意思问，问了就会了不问永远不会。 SSL证书必须搞，早搞早平安，晚搞晚麻烦。跟着我说的方法，动手试试，包你会！搞定了你的网站就有小锁了平安又靠谱，用户也放心，YYDS！！ 对了 我昨天搞SSL证书，搞了半天再说说发现是CSR文件里的域名写错了少了个www，白折腾了半天！所以啊，搞的时候仔细点，别像我一样犯傻！SSL证书，SSL证书，SSL证书，重要的事说三遍，赶紧去搞，太暖了。！