如何轻松部署泛域名SSL证书，实现网站平安无忧？

哎呀，说起这个SSL证书，我一开始也是一头雾水，啥是泛域名啊？SSL又是啥？反正就是听别人说网站要平安，就得搞这个。后来慢慢摸索，发现其实也没那么难，就是有点麻烦，步骤多了点，你跟着我做， 看好你哦！ 肯定能搞定。下面我就瞎说说 反正我是这么弄的，你参考参考，不行再自己查资料，反正网上的教程也多，不过有的太专业了看不懂，我这个就比较接地气，像我这种没读过多少书的人都能懂一点点。

先搞明白，泛域名SSL证书到底是个啥？

说实话， 一开始我根本不知道泛域名是啥，就知道域名，比如www.baidu.com，这就是个域名。那泛域名呢？后来别人告诉我， 泛域名就是比如*.baidu.com，这个星号*就代表所有的子域名，比如news.baidu.com、tieba.baidu.com什么的，只要是这个主域名下面的子域名，都能用同一个SSL证书。哦，原来是这样！那SSL证书呢？就是那个浏览器地址栏左边的小锁， 点了之后显示“平安”，说明你这个网站是加密的，别人看不到你的密码啥的，比较平安。所以泛域名SSL证书就是一张能保护你所有子域名的平安锁， 不用每个子域名都单独买一个证书，省了不少钱，也省事，对吧？

部署之前，你得先准备点啥？

别急着去弄服务器，先得把证书搞到手。怎么搞呢？先说说你得去证书服务商那里买， 或者有些免费的也行，比如Let's Encrypt，不过免费的有时候可能麻烦点，验证啥的。买的时候得选“泛域名”类型的，别选错了选成单域名的就完了只能保护一个域名。然后呢， 你得有服务器吧，不管是阿里云、腾讯云还是自己的服务器，都得有，而且得是能连上的，不能连不上服务器，那啥也干不了。还有，你得有域名的解析权限，就是能在域名管理后台改DNS记录，不然验证通不过证书也下不来。

证书类型咋选？DV？OV？EV？晕了！

切记... 选证书的时候，会看到有DV、OV、EV这几种，我当时就晕了都是啥啊？后来问了技术才知道， DV就是域名验证，最简单的，就是证明这个域名是你的，适合个人用的小网站，比如博客、个人主页啥的，验证快，可能几分钟就搞定了。OV就是企业验证， 除了证明域名是你的，还得证明你是企业，得提交营业执照啥的，麻烦一点，但信任度高，适合企业网站。EV就是增强验证， 最严格的，除了企业，还得查很多资料，地址栏会变绿，显示公司名称，适合大企业，比如银行、电商什么的。反正个人用，选DV就行了便宜还方便，企业就用OV，EV一般用不上，太贵了而且麻烦。

域名验证，这一步最烦人！

买完证书，就得验证域名是不是你的，不然服务商怎么知道这域名是你申请的呢？验证有好几种方式，DNS验证、文件验证、邮箱验证。DNS验证最常用， 就是在域名解析那里加一条TXT记录，记录值是服务商给你的，这一步我一开始也不会， 多损啊！ 后来查了教程才弄明白，就是在域名管理后台找到“解析记录”，类型选TXT，主机名随便填，记录值就复制服务商给的，然后保存，等一会儿，大概几分钟到几小时 propagation 完了就行了。

文件验证就是在网站根目录放一个文件， 文件名和内容都是服务商给的，然后他们去访问，如果能访问到，就证明是你控制的。邮箱验证就是给你域名下的邮箱发个邮件， 佛系。 点个链接确认。我个人觉得DNS验证最方便， 不用动网站文件，也不用等邮件，就是得会改DNS，要是不会的话，文件验证也行，把文件传到网站根目录就行。

证书到手了咋部署到服务器上？

验证通过了 服务商就会给你证书文件，一般是一个压缩包，里面有好多文件，比如证书文件、私钥文件、根证书文件，还有可能有一些中间证书文件。这些文件你得保存好，私钥文件特别重要，千万别泄露了不然别人就能冒充你的网站，那就麻烦大了！然后呢，就得把这些文件传到服务器上， 差点意思。 传到哪里呢？一般都放在一个专门的文件夹里比如叫ssl，或者cert，自己建一个，记住路径，等会儿配置要用。用什么传呢？可以用FTP工具， 比如FileZilla，或者用服务器的命令行，比如scp，如果你会用命令行的话，快点，不会就用FTP，直观。

Nginx服务器部署，我用的就是这个！

我自己的服务器用的是Nginx，所以先说说Nginx咋部署。先说说 证书文件传到服务器上了比如放在/usr/local/nginx/conf/ssl/目录下文件名随便，比如cert.pem、privkey.key。然后呢， 就得改Nginx的配置文件，一般在/usr/local/nginx/conf/nginx.conf， 摆烂。 或者你在conf.d目录下建的配置文件，比如你的网站叫example.com，就建个example.com.conf。打开配置文件，找到server块，如果是HTTP的，就复制一个server块出来改成HTTPS的。里面要写这些东西：

listen 443 ssl; # 监听443端口， HTTPS端口 server_name *.example.com; # 泛域名，*.example.com ssl_certificate /usr/local/nginx/conf/ssl/cert.pem; # 证书文件路径 ssl_certificate_key /usr/local/nginx/conf/ssl/privkey.key; # 私钥文件路径 ssl_protocols TLSv1.2 TLSv1.3; # 支持的TLS版本 ssl_ciphers HIGH:!aNULL:!MD5; # 加密套件 # 然后里面写你的网站配置，比如root目录、index文件啥的，KTV你。

写完之后还得配置HTTP跳转HTTPS，就是用户访问HTTP的时候， 太坑了。 自动跳转到HTTPS，这样更平安。再写一个server块：

listen 80; # HTTP端口 server_name *.example.com; # 泛域名 return 301 https://$host$request_uri; # 跳转到HTTPS， $host是域名，$request_uri是路径，拭目以待。

写完之后保存配置文件，然后检查一下有没有语法错误，在命令行输入nginx -t，如果显示syntax is ok和test is successful，就说明没问题，然后重启Nginx，service nginx restart或者nginx -s reload，就行了。这时候你访问https://www.example.com， 应该就能看到小锁了http://www.example.com也会自动跳转到https。

Apache服务器部署， 朋友的服务器用的是这个

我朋友的服务器用的是Apache，我帮他弄过一次也挺麻烦的。先说说也是把证书文件传到服务器上， 比如放在/etc/apache2/ssl/目录下文件名比如cert.crt、priv.key、ca.crt。然后呢， 得开启Apache的SSL模块，在命令行输入a2enmod ssl，然后重启Apache，service apache2 restart。接下来改配置文件， 一般在/etc/apache2/sites-available/default-ssl.conf，或者你自己的网站配置文件，比如example.com-ssl.conf。打开文件， 找到这块，里面写：

ServerName *.example.com DocumentRoot /var/www/html # 你的网站根目录 SSLEngine on SSLCertificateFile /etc/apache2/ssl/c 我直接起飞。 ert.crt SSLCertificateKeyFile /etc/apache2/ssl/priv.key SSLCertificateChainFile /etc/apache2/ssl/ca.crt # 如果有中间证书，就写这个

写完之后启用这个配置文件，用a2ensite example.com-ssl.conf，然后改/etc/apache2/sites-available/000-default.conf， 扎心了... 这是HTTP的配置，里面加个跳转：

ServerName *.example.com Redirect permanent / https://$host$request_uri，动手。

我悟了。 再说说重启Apache，service apache2 restart，就行了。跟Nginx差不多， 就是配置文件格式不一样，Apache用的是Nginx用的是server，记混了就麻烦了。

IIS服务器部署， Windows服务器用这个

基本上... Windows服务器一般用IIS，我没亲自弄过但看别人弄过也简单。先说说把证书文件传到Windows服务器上，比如放在C:\cert目录下。然后打开IIS管理器，找到你要绑定的网站，比如“默认网站”，右键“属性”，或者“绑定”。在绑定窗口，添加一个HTTPS绑定，端口443，证书选“导入”，然后找到你传的证书文件，导入进去。

观感极佳。 再说说重启IIS服务，iisreset，就行了。Windows的图形界面还是比较直观的，就是按钮多，找起来费劲。

导入的时候可能会要你输入私钥密码，如果是自己生成的证书，可能没有密码，直接点确定。然后呢，还得设置HTTP跳转，在IIS里装个URL重写模块，没有的话先下载安装。然后打开URL重写， 添加入站规则， 走捷径。 类型为“匹配URL”，模式匹配所有请求，操作类型为“重定向”，重定向URL是https://{R:0}，条件添加{HTTPS} OFF，这样HTTP请求就会跳转HTTPS。

部署完了咋知道搞对了没？

研究研究。 部署完了肯定得验证一下不然万一没弄好，网站打不开或者不平安，那就白弄了。最简单的办法就是用浏览器访问你的网站， 比如https://www.example.com，看看地址栏有对不对，域名是不是你的，有效期是不是对的，有没有包含子域名。如果小锁显示“不平安”或者“证书错误”， 那就说明没弄好，得检查配置文件，看看证书路径对不对，私钥对不对，域名有没有写错。

还有就是用在线检测工具， 比如SSL Labs的Server Test，输入你的域名，它会全面检测你的SSL配置，有没有漏洞，兼容性好不好，加密等级高不高，检测完了如果有问题，就根据提示改配置。这个工具挺专业的， 我一开始看不懂，后来慢慢就明白了一般A+就是最好的，B+也不错，C以下就有问题了得改。

日常维护，别到期了都不知道！

SSL证书不是一劳永逸的， 它有过期时间，一般免费的Let's Encrypt是3个月，付费的可能一年、两年。到期了网站就不平安了浏览器会显示“证书过期”，用户一看就不敢访问了所以得定期续期。我一般设个闹钟，提前一个月提醒自己续期，别等快过期了才搞，万一服务商忙，或者自己没时间，就麻烦了。续期的流程和申请差不多， 如果是Let's Encrypt，可以用certbot工具自动续期，挺方便的。

如果是付费的，就登录服务商后台，找到续期按钮，按提示操作就行。还有呢， 服务器升级或者改配置的时候，可能会影响SSL配置，比如改了Nginx的配置文件，忘了加SSL相关的东西，那HTTPS就没了所以改配置的时候要注意，改完之后测试一下看看网站能不能正常访问，有没有小锁。再说一个， 私钥文件一定要保管好，别放在网上让人下载了如果怀疑泄露了就赶紧联系服务商吊销证书，重新申请，不然别人冒充你的网站，用户信息就泄露了那损失就大了，研究研究。。

一下其实也没那么难！

总的 搞这个泛域名SSL证书，就是先买个证书，然后验证域名，再传到服务器上，改配置文件，重启服务，再说说验证一下。步骤是多了点，但一步一步来应该能搞定。一开始我也不会，也是慢慢学的，看教程，问朋友，折腾了好几次才会。反正别怕麻烦，多试试，不行就查资料，网上的教程多的是总有一款适合你。搞好了之后 网站就平安了用户也放心访问，对咱自己也有好处，毕竟现在没有HTTPS的网站，用户一看就不信任，所以还是搞一下比较好。好了我就瞎说到这儿，希望对你有帮助，反正我写的时候也是想到哪儿说到哪儿，有点乱，你别介意啊，对，就这个意思。！