通配符SSL证书申请成功后,需要正确部署到服务器才能生效。不同Web服务器的部署方式不同,本文将介绍Nginx、Apache、IIS三大主流服务器的通配符证书部署方法。
一、通配符SSL证书文件说明
CA机构签发的证书通常包含以下文件:
1. 证书文件(.crt 或 .pem):您的域名证书
2. 中间证书(CA Bundle):证书链中间文件
3. 私钥文件(.key):申请时生成的私钥
部署前需要将域名证书和中间证书合并为一个文件(部分服务器需要),合并后的文件称为"完整证书链"。
二、Nginx部署通配符SSL证书
Nginx是最常用的Web服务器之一,部署通配符证书的配置如下:
1. 将证书文件和私钥上传到服务器,例如:
/etc/ssl/certs/wildcard.tongpeifu.cn.crt
/etc/ssl/private/wildcard.tongpeifu.cn.key
2. 配置Nginx的server段:
server {
listen 443 ssl;
server_name *.tongpeifu.cn;
ssl_certificate /etc/ssl/certs/wildcard.tongpeifu.cn.crt;
ssl_certificate_key /etc/ssl/private/wildcard.tongpeifu.cn.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
3. 测试配置并重启Nginx:
nginx -t 测试配置
nginx -s reload 重新加载
Nginx的优势是同一张通配符证书可配置在多个server段中,分别服务不同的子域名。
三、Apache部署通配符SSL证书
1. 上传证书文件到服务器指定目录
2. 配置Apache的VirtualHost:
<VirtualHost *:443>
ServerName tongpeifu.cn
ServerAlias *.tongpeifu.cn
SSLEngine on
SSLCertificateFile /etc/ssl/certs/wildcard.tongpeifu.cn.crt
SSLCertificateKeyFile /etc/ssl/private/wildcard.tongpeifu.cn.key
SSLCertificateChainFile /etc/ssl/certs/chain.crt
</VirtualHost>
3. 启用SSL模块:a2enmod ssl
4. 重启Apache:systemctl restart apache2
四、IIS部署通配符SSL证书
IIS部署需要将证书转换为PFX格式:
1. 使用OpenSSL合并证书和私钥为PFX文件:
openssl pkcs12 -export -out wildcard.pfx -inkey server.key -in server.crt -certfile chain.crt
2. 在IIS管理器中导入PFX证书:
打开IIS管理器 → 服务器证书 → 导入 → 选择PFX文件 → 输入密码
3. 绑定证书到网站:
选择网站 → 绑定 → 添加 → 类型选HTTPS → 端口443 → 选择导入的证书 → 主机名填写具体子域名(如www.tongpeifu.cn)
注意:IIS中每个子域名网站需要分别绑定证书,但可以使用同一张导入的通配符证书。
五、通配符证书部署常见问题
1. 浏览器显示证书链不完整
原因:未部署中间证书
解决:将中间证书追加到证书文件末尾,或单独配置SSLCertificateChainFile
2. 部分子域名仍显示不安全
原因:该子域名的服务器未部署证书,或多级子域名不匹配
解决:确认所有子域名服务器都部署了通配符证书,多级子域名需单独申请
3. 移动端浏览器报错
原因:证书链不完整或使用了过时的加密算法
解决:部署完整证书链,启用TLS 1.2及以上协议
4. 部署后网站无法访问
原因:防火墙未开放443端口,或配置语法错误
解决:检查防火墙设置,使用nginx -t或apachectl configtest验证配置
六、部署后的验证
部署完成后,建议使用以下工具验证:
1. SSL Labs SSL Test:全面检测证书配置、安全性等级
2. MySSL:中文SSL检测工具,提供详细报告
3. 浏览器直接访问:检查锁标志是否正常显示
正确部署通配符SSL证书是保障网站安全的基础。按照本文教程操作,可确保通配符证书在主流服务器上正常运行,为所有子域名提供HTTPS保护。
