HTTPS证书是啥？为啥要搞它？

哎呀，现在搞网站的人都知道HTTPS这东西了吧？就是浏览器地址栏那个小锁，没它感觉网站都不正经。HTTPS证书呢，说白了就是给网站办个“身份证”，证明你这网站是平安的，不是骗人的。现在用户都精了一看没小锁直接关网页，所以HTTPS证书必须搞，不然网站流量都没了，上手。。

我刚开始搞的时候啥也不懂， 以为随便找个网站买个证就行，后来啊搞了半个月，浏览器还提示“不平安”，差点把服务器搞崩了。后来问了搞运维的朋友，才慢慢搞明白，这里面坑太多了。今天就把我踩过的坑都写出来让大家少走弯路，我跟你交个底...。

第一步：先搞清楚你要买啥证

HTTPS证书分好几种，不是随便买一个就能用的。我一开始就搞错了买了域名证，后来啊公司网站用不了又得重新买，浪费钱。所以先得明白你要啥类型的证：

1. 域名证

这个最便宜， 有的还免费，比如Let's Encrypt就送。就是证明这个域名是你的，不用查你公司啥的，个人博客、 不错。 小网站用这个就够了。我给我博客用的就是这个，传个文件到根目录，或者改个DNS记录就行，半天就下来了。

干就完了！ 但是别乱用， 企业网站用这个不行，浏览器会提示“证书仅验证域名，未验证组织”，用户一看就觉得不正规，特别是电商网站，没人敢买东西。

2. 企业证

这个就得查公司了 得交营业执照、组织机构代码证啥的，还得打 申请的时候麻烦死了得准备一堆资料，还得是扫描件，清晰不能模糊，不然机构不通过。我第一次交的营业执照有点歪，被打回来重传，气死我了。 3. 增强型 这个最牛， 银行、大电商才用，浏览器地址栏会直接显示公司名字，绿色那种，一看就靠谱。价格也贵，一年好几千，小网站别想了用不起。而且申请更麻烦，得现场核实我听说还得拍照，反正我没用过太高端了。 第二步：准备材料， 别漏了 不同证需要的材料不一样，我列一下别像我一样漏东漏西： 域名证需要啥？ 简单，就两样：域名所有权证明，还有邮箱。域名证明就是DNS解析记录，或者上传文件到根目录。邮箱最好是注册域名时的那个邮箱，不然收不到验证信。我上次用了QQ邮箱，机构说不是域名注册邮箱，又换回163邮箱才收到。 企业证需要啥？ 这个麻烦多了 得准备： 1. 营业执照副本，彩色扫描件，不能有水印，得清晰。 2. 组织机构代码证或统一社会信用代码证，现在三证合一了就一个信用代码证就行。 3. 法人身份证扫描件，正反面都要。 4. 授权委托书，如果申请的不是法人，得法人签字的委托书，还得盖公章。 5. 域名注册证书，证明域名是公司注册的，不是个人买的。 我第一次申请，忘了盖公章，被打回来三次烦死了。还有身份证照片拍不清楚， 牛逼。 又得重新拍，所以一定要仔细，别漏了啥。 第三步：找机构，别被骗了 证书机构叫CA，就是颁发证书的。别随便找个网站就买，有的便宜是便宜，浏览器不认，打开全是警告，谁还敢用？我一开始贪便宜，找了个小机构，50块钱一年的域名证，后来啊浏览器显示“不受信任”，白搭。 得找浏览器信任的大机构， 比如： 1. Let's Encrypt：免费的，适合个人，证书三个月就得续，有点麻烦，但免费。 2. DigiCert、 GlobalSign：贵的，但靠谱，企业证、增强证都行，售后服务好。 盘它... 3. 腾讯云、 阿里云：他们也有证书服务，买的都是DigiCert的，只是代理，价格还行，适合国内用户。 切中要害。 我后来是在腾讯云买的， 虽然贵点，但有人指导，申请起来快，有问题还能找客服，比我自己瞎搞强多了。 第四步：提交申请， 验证域名 材料准备好了就提交申请，这一步最烦，容易出错。机构会让你选验证方式，三种：DNS验证、文件验证、邮件验证。我三种都试过 说说哪个好用： DNS验证 就是去域名管理后台加个TXT记录，主机记录是_acme-challenge，记录值是机构给的一串字符。这个最麻烦，主要原因是DNS生效要时间，有时候半天有时候24小时我等了12小时才生效，急死我了。而且域名解析要是开了CDN，还得在CDN后台加，更麻烦，引起舒适。。 文件验证 就是机构给你个文件， 让你传到网站根目录，就是public_html文件夹。传完还得在浏览器打开，看能不能访问。这个简单，但前提是你的网站能访问，要是服务器崩了就传不了。我上次服务器被攻击，传不了文件，只能换DNS验证。 邮件验证 最简单， 机构给个验证链接，发到你注册域名的邮箱，点一下就行。但前提是你能收到邮件，要是域名邮箱收不到垃圾邮件，可能被当成垃圾邮件了收不到。我上次就遇到这情况，等了两天没收到，去垃圾箱找了半天才找到。 第五步：下载证书， 部署到服务器 验证通过了机构就会给你证书，一般有几个文件：.pem、.key、.crt啥的。看不懂，反正全下载下来。然后就得部署到服务器，这一步最考验技术，我搞了三天才弄好，被割韭菜了。。 Apache服务器怎么部署？ 找到httpd.conf文件， 找到SSLCertificateFile和SSLCertificateKeyFile这两行，把证书路径改了。比如： SSLCertificateFile /etc/ssl/certs/your_domain.crt，我整个人都不好了。 改完保存， 重启Apache服务，用浏览器打开网站，看看有没有小锁。我第一次改错了路径，服务器直接启动不了吓得我赶紧找朋友帮忙，功力不足。。 Nginx服务器怎么部署？ 更复杂， 得在nginx.conf里加server段，配置listen 443 ssl，还有证书路径。我朋友教我的，照着抄，但还是错了好几次再说说才成功。要是不会，最好找运维帮忙，别自己瞎搞，服务器崩了就麻烦了，试着...。 实用技巧， 少踩坑 我踩了好多坑，几个技巧，大家记好： 1. 验证的时候千万别写错 DNS记录的主机记录、记录值，一个字母都不能错，我上次少了个点，搞了三天才明白。文件验证的文件名也不能错，机构说叫什么就得叫什么不能自己改。邮件验证的链接，别点错，别当成垃圾邮件删了。 2. 证书到期前一定要续费 HTTPS证书一般一年或两年， 到期前不续费，网站就变HTTP了浏览器提示“不平安”，用户直接跑。 太顶了。 我有个朋友忘了续费，网站流量掉了80%，损失了好几万。最好设置个闹钟，或者买自动续费的，省心。 3. 定期检查证书状态 有时候证书配置错了 自己不知道，等用户投诉了才明白。可以用在线工具检查，比如SSL Labs的SSL Test，输入域名，看看证书有没有效，链完不完整。我每周都检查一次发现问题赶紧改。 4. 别用太便宜的证书 便宜没好货， 贵的证书平安等级高，还有技术支持。我上次买的便宜证书，加密算法弱，被黑客攻击了用户数据泄露，赔了好多钱。别贪小便宜，吃大亏。 再说说说几句 HTTPS证书申请这事儿， 说难不难，说简单也不简单，主要是细心点。别像我一样，总犯低级错误， 对，就这个意思。 搞个三天两头的。要是实在搞不懂，就找专业的人帮忙，别自己瞎折腾，服务器崩了就麻烦了。 HTTPS证书对网站很重要，必须搞。选对类型，准备齐全材料，找正规机构，仔细验证，正确部署，定期检查，就没问题了。好了我就说这么多，希望能帮到你们，反正我写完是头都大了不写了拜拜～，太暖了。