如何安装SSL证书 – 分步指南

SSL安装由两个主要阶段(验证和安装)及6个步骤组成。您通过电子邮件、DNS TXT记录或上传HTTP文件来证明域名归属权,然后将颁发的证书安装到服务器上。本综述文章涵盖cPanel、Plesk和Microsoft IIS三种环境,并分别提供各环境的独立分步指南链接。
SSL激活:6步快速概览
- 选择验证方式
电子邮件(admin@)、DNS TXT记录或HTTP文件上传,三选一即可。 - 在服务器上生成CSR代码
私钥会自动生成,安装完成前请勿删除。 - 提交CSR代码
在SSL激活期间通过您的Domain Name API账户提交。 - 完成验证
确认邮件、添加DNS记录或上传HTTP文件。 - 安装证书
按照适用于cPanel、Plesk或IIS的相应安装指南操作。 - 验证HTTPS
检查浏览器中的锁形图标以及HTTP到HTTPS的重定向。
开始之前需要准备的内容
| 要求 | 说明 |
|---|---|
| 域名 | 要颁发证书的域名。Wildcard证书请使用:*.example.com |
| CSR代码 | 在托管服务器上生成,包含域名、机构和公钥信息。 |
| 私钥(自动生成) | 与CSR同时创建,安装时必需 — 请勿删除。 |
| 验证访问权限 | 以下三者之一即可:admin邮箱访问权限、DNS管理面板或Web服务器文件访问权限。 |
| 控制面板 | cPanel、Plesk或IIS — 生成CSR和安装证书时必需。 |
| CA Bundle | 由证书颁发机构随证书一起提供,完整信任链所必需。 |
SSL安装分步指南

第1步 — 选择验证方式
对于DV SSL证书,证书颁发机构可以通过三种不同方式验证域名归属权,仅需完成其中一种即可:
| 方式 | 工作原理 | 适用场景 |
|---|---|---|
| 邮件验证 | 验证链接发送至admin@或其他标准地址。 | 当您能创建或已有域名邮箱时。 |
| DNS TXT记录 | 将特定TXT值添加到域名DNS面板,系统自动检查。 | 无法创建邮箱或使用批量自动化时。 |
| HTTP文件验证 | 将小型验证文件上传至Web服务器指定目录。 | 可直接访问Web服务器文件时。 |
邮件验证接受的标准地址:
- admin@example.com
- administrator@example.com
- webmaster@example.com
- hostmaster@example.com
- postmaster@example.com
⚠️ 若选择邮件方式,以上地址中至少有一个必须在安装前创建并可正常接收邮件。如未收到确认邮件,请检查垃圾邮件文件夹。
第2步 — 生成CSR代码
CSR(Certificate Signing Request,证书签名请求)是一段加密文本,包含为您的域名专门签发SSL证书所需的信息。生成CSR时,服务器会在后台自动创建私钥。
⚠️ 生成CSR时,服务器会自动创建私钥文件。该私钥在安装证书时不可或缺。在安装完成之前,切勿删除CSR记录或私钥文件。
| 控制面板 | CSR生成方法 |
|---|---|
| cPanel | Security > SSL/TLS > Generate an SSL Certificate and Signing Request |
| Plesk | SSL/TLS Certificates > Add SSL/TLS Certificate — 填写各字段后点击Request |
| Microsoft IIS | IIS Manager > Server Certificates > Create Certificate Request向导。完整指南:https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur |
提交CSR代码前,可使用任意CSR解码工具验证其内容。
第3步 — 提交CSR代码
在SSL激活期间,通过您的Domain Name API账户或经销商面板提交生成的CSR代码。证书颁发机构将使用此代码进行验证并生成证书。经销商账户管理:https://www.domainnameapi.com/tr/ssl-reseller
💼 使用经销商账户操作?
请通过您的Domain Name API经销商面板创建技术支持工单。此方式便于跟踪事务处理进度,并享有优先支持服务。
第4步 — 完成验证
根据所选方式:
- 邮件:点击发送至admin地址的确认链接。链接通常有效期为24–72小时。
- DNS TXT:将证书颁发机构提供的TXT值添加至DNS管理面板。DNS传播可能需要5–30分钟,之后验证自动完成。
- HTTP文件:将CA提供的文件上传至指定目录 — 示例:example.com/.well-known/pki-validation/file.txt
ℹ️ DNS和HTTP方式均自动检验,无需邮件确认。记录或文件就位后,证书签发流程即自动启动。
第5步 — 安装SSL证书
验证完成后,您的证书将被签发 — DV证书通常在数分钟内即可获得。请按照对应控制面板的安装指南操作:
| 面板 | 主题 | 完整指南链接 |
|---|---|---|
| Plesk | SSL证书安装 | https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir |
| cPanel | SSL证书安装 | https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir |
| Microsoft IIS | 创建CSR代码 | https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur |
| Microsoft IIS | SSL证书安装 | https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir |
ℹ️ 安装时务必包含CA Bundle文件(中间证书链)。缺少CA Bundle是安装后证书链错误最常见的原因。
第6步 — 验证HTTPS
安装完成后,在浏览器中打开您的网站,确认地址栏中显示锁形图标。检查HTTP到HTTPS的重定向是否已生效。
CSR与私钥:生成了什么,为何重要?

生成CSR时,服务器同时创建两个元素:
| 生成的元素 | 作用 |
|---|---|
| CSR(公钥请求) | 发送给证书颁发机构,包含域名、机构和公钥信息,可安全共享。 |
| 私钥 | 保留在服务器上,须严格保密。安装证书时与CSR匹配使用。在安装确认之前,切勿共享或删除。 |
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----
⚠️ CSR代码务必在托管您网站的服务器上生成。在其他服务器上生成的CSR将导致安装时私钥不匹配。
SSL安装常见错误
| 错误 | 后果 | 解决方案 |
|---|---|---|
| 未准备好验证方式就开始安装 | 验证无法完成,证书无法签发 | 安装前准备好邮件、DNS或HTTP访问权限 |
| 在错误的服务器上生成CSR | 私钥不匹配,安装失败 | 始终在托管网站的服务器上生成 |
| 安装完成前删除私钥 | 证书无法安装,需重新生成CSR | 安装确认前勿操作私钥 |
| 未包含CA Bundle | 证书有效但浏览器仍提示"不受信任的证书链" | 安装时包含完整的CA Bundle文件 |
| 未配置HTTPS重定向 | 即使安装了证书,访客仍通过HTTP访问 | 安装后启用301重定向 |
| 混合内容错误 | 页面中的HTTP资源触发浏览器警告 | 确认页面所有资源(图片、脚本、CSS)均通过HTTPS提供 |
安装后检查清单
- 网站是否通过HTTPS正常打开?
- 浏览器地址栏是否显示锁形图标?
- 是否已配置HTTP到HTTPS的自动301重定向?
- 是否存在混合内容错误?(F12 → 控制台)
- 是否已验证CA Bundle / 证书链?(无链路错误?)
- 是否已记录证书到期日期?
- 是否已使用SSL检查工具确认安装?
为什么SSL证书很重要?
| 优势 | 说明 |
|---|---|
| 数据安全 | 加密访客与服务器之间的传输数据,保护登录信息、表单数据和支付信息 |
| HTTPS与锁形图标 | 浏览器将HTTP网站标记为"不安全",HTTPS立即消除此警告 |
| 用户信任 | 访客在显示锁形图标的网站停留时间更长,转化率随之提升 |
| SEO信号 | HTTPS是搜索引擎的正面技术信号,HTTP网站在技术层面处于劣势 |
| 合规要求 | PCI DSS、GDPR及大多数托管服务商政策现已将HTTPS列为基本要求 |
| API与Webhook | 许多第三方API和支付系统要求生产集成使用HTTPS端点 |
相关资源
| 资源 | 链接 |
|---|---|
| API测试平台信息 | https://www.domainnameapi.com/domain-name-api-test-platform-information |
| WHMCS集成指南 | https://www.domainnameapi.com/tr/whmcs |
| 域名经销商 | https://www.domainnameapi.com/tr/domain-reseller |
| SSL经销商计划 | https://www.domainnameapi.com/tr/ssl-reseller |
| Plesk SSL安装指南 | https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir |
| cPanel SSL安装指南 | https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir |
| IIS CSR创建指南 | https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur |
| IIS SSL安装指南 | https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir |
常见问题解答
安装SSL是否需要CSR代码?
是的。CSR是SSL证书专门为您的域名签发所必需的。生成过程中创建的私钥在安装时同样不可或缺 — 两者须配合使用。
没有管理员邮箱可以安装SSL吗?
可以。邮件验证虽然最为常见,但并非强制要求。域名验证也可通过DNS TXT记录或HTTP文件验证方式完成,无需创建邮件地址。
如何通过DNS TXT记录完成验证?
证书颁发机构会提供一个特定的TXT记录值。将此值添加到域名DNS管理面板的@或指定子域名下。DNS传播通常需要5–30分钟,之后验证自动完成。
私钥是什么,为什么重要?
私钥是在生成CSR时在服务器上创建的机密密钥文件,安装证书时与CSR匹配使用。没有私钥,证书无法安装到服务器。安装完成之前,切勿共享或删除私钥。
CA Bundle是什么?
CA Bundle(中间证书链)是证书颁发机构随SSL证书一起提供的一组证书,用于确认您的证书与受信任的根CA相链接。缺少CA Bundle时,即使证书有效,浏览器也会显示"不受信任的证书链"错误。安装时必须包含CA Bundle。
什么是Wildcard SSL证书?
Wildcard SSL证书可用一张证书同时保护主域名及所有一级子域名(www、mail、shop等)。Common Name字段填写*.example.com。二级子域名(sub.sub.example.com)不在保护范围内。
SSL证书签发需要多长时间?
DV(域名验证)SSL证书通常在验证完成后数分钟内签发,有时甚至只需数秒。OV(机构验证)需要1–3个工作日,EV(增强验证)通常需要3–7个工作日。
可以将SSL证书迁移到其他服务器吗?
可以。从当前服务器导出证书文件、CA Bundle和私钥,然后通过控制面板导入到新服务器。若私钥已丢失,则需重新生成CSR并重新签发证书。
证书链错误是什么意思,如何解决?
证书链错误表示CA Bundle缺失或不正确。浏览器尝试将您的证书与受信任的根CA相链接,若中间证书缺失则会出现断点,浏览器将显示"不受信任的证书链"或"NET::ERR_CERT_AUTHORITY_INVALID"错误。解决方案:使用完整的CA Bundle文件重新安装证书。
安装SSL后HTTPS会自动生效吗?
不会。即使证书已安装到服务器,HTTP到HTTPS的重定向仍需单独配置。在cPanel和Plesk中通常一键即可启用;在IIS中则需要配置URL Rewrite规则。
如何在cPanel中安装SSL?
依次进入Security > SSL/TLS > Install and Manage SSL,粘贴证书、私钥和CA Bundle,然后点击Install Certificate。含截图的完整指南:https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir
如何在Plesk中安装SSL?
Domains > example.com > SSL/TLS Certificates > Add SSL/TLS Certificate,上传证书和私钥,然后在Hosting Settings中启用SSL/TLS支持和301重定向。完整指南:https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir
如何在IIS中创建CSR代码?
打开IIS Manager → 点击服务器名称 → Server Certificates → Create Certificate Request(Actions面板)。填写域名信息,将位长设置为2048或更高,保存输出文件。完整指南:https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur
验证链接过期后怎么办?
邮件验证链接通常有效期为24–72小时。DNS和HTTP方式的链接无有效期限制,订单在到期前(通常30天)始终保持有效。如遇任何验证问题,请通过您的Domain Name API经销商面板提交支持工单。
总结
SSL安装是一个两阶段、六步骤的流程。选择验证方式(邮件、DNS TXT或HTTP文件),在正确的服务器上生成CSR,妥善保管私钥,完成验证,连同CA Bundle一起安装证书,最后确认HTTPS正常运行。
✅ 安装完成后,请使用SSL检查工具确认证书配置正确。CA Bundle缺失是安装后最常见的问题,使用完整文件重新安装即可解决。
