如何安装SSL证书 – 分步指南

如何安装SSL证书 – 分步指南

SSL安装由两个主要阶段(验证和安装)及6个步骤组成。您通过电子邮件、DNS TXT记录或上传HTTP文件来证明域名归属权,然后将颁发的证书安装到服务器上。本综述文章涵盖cPanel、Plesk和Microsoft IIS三种环境,并分别提供各环境的独立分步指南链接。

💼 想为客户网站提供SSL证书服务?

Domain Name API的SSL经销商计划提供批量订单管理、通过API自动续期以及WHMCS集成功能。

查看SSL经销商解决方案 →

SSL激活:6步快速概览

  1. 选择验证方式
    电子邮件(admin@)、DNS TXT记录或HTTP文件上传,三选一即可。
  2. 在服务器上生成CSR代码
    私钥会自动生成,安装完成前请勿删除。
  3. 提交CSR代码
    在SSL激活期间通过您的Domain Name API账户提交。
  4. 完成验证
    确认邮件、添加DNS记录或上传HTTP文件。
  5. 安装证书
    按照适用于cPanel、Plesk或IIS的相应安装指南操作。
  6. 验证HTTPS
    检查浏览器中的锁形图标以及HTTP到HTTPS的重定向。

开始之前需要准备的内容

要求 说明
域名 要颁发证书的域名。Wildcard证书请使用:*.example.com
CSR代码 在托管服务器上生成,包含域名、机构和公钥信息。
私钥(自动生成) 与CSR同时创建,安装时必需 — 请勿删除。
验证访问权限 以下三者之一即可:admin邮箱访问权限、DNS管理面板或Web服务器文件访问权限。
控制面板 cPanel、Plesk或IIS — 生成CSR和安装证书时必需。
CA Bundle 由证书颁发机构随证书一起提供,完整信任链所必需。

SSL安装分步指南

如何安装SSL证书 – 分步指南

第1步 — 选择验证方式

对于DV SSL证书,证书颁发机构可以通过三种不同方式验证域名归属权,仅需完成其中一种即可:

方式 工作原理 适用场景
邮件验证 验证链接发送至admin@或其他标准地址。 当您能创建或已有域名邮箱时。
DNS TXT记录 将特定TXT值添加到域名DNS面板,系统自动检查。 无法创建邮箱或使用批量自动化时。
HTTP文件验证 将小型验证文件上传至Web服务器指定目录。 可直接访问Web服务器文件时。

邮件验证接受的标准地址:

  • admin@example.com
  • administrator@example.com
  • webmaster@example.com
  • hostmaster@example.com
  • postmaster@example.com

⚠️ 若选择邮件方式,以上地址中至少有一个必须在安装前创建并可正常接收邮件。如未收到确认邮件,请检查垃圾邮件文件夹。

第2步 — 生成CSR代码

CSR(Certificate Signing Request,证书签名请求)是一段加密文本,包含为您的域名专门签发SSL证书所需的信息。生成CSR时,服务器会在后台自动创建私钥。

⚠️ 生成CSR时,服务器会自动创建私钥文件。该私钥在安装证书时不可或缺。在安装完成之前,切勿删除CSR记录或私钥文件。

控制面板 CSR生成方法
cPanel Security > SSL/TLS > Generate an SSL Certificate and Signing Request
Plesk SSL/TLS Certificates > Add SSL/TLS Certificate — 填写各字段后点击Request
Microsoft IIS IIS Manager > Server Certificates > Create Certificate Request向导。完整指南:https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur

提交CSR代码前,可使用任意CSR解码工具验证其内容。

第3步 — 提交CSR代码

在SSL激活期间,通过您的Domain Name API账户或经销商面板提交生成的CSR代码。证书颁发机构将使用此代码进行验证并生成证书。经销商账户管理:https://www.domainnameapi.com/tr/ssl-reseller

💼 使用经销商账户操作?

请通过您的Domain Name API经销商面板创建技术支持工单。此方式便于跟踪事务处理进度,并享有优先支持服务。

第4步 — 完成验证

根据所选方式:

  • 邮件:点击发送至admin地址的确认链接。链接通常有效期为24–72小时。
  • DNS TXT:将证书颁发机构提供的TXT值添加至DNS管理面板。DNS传播可能需要5–30分钟,之后验证自动完成。
  • HTTP文件:将CA提供的文件上传至指定目录 — 示例:example.com/.well-known/pki-validation/file.txt

ℹ️ DNS和HTTP方式均自动检验,无需邮件确认。记录或文件就位后,证书签发流程即自动启动。

第5步 — 安装SSL证书

验证完成后,您的证书将被签发 — DV证书通常在数分钟内即可获得。请按照对应控制面板的安装指南操作:

面板 主题 完整指南链接
Plesk SSL证书安装 https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir
cPanel SSL证书安装 https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir
Microsoft IIS 创建CSR代码 https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur
Microsoft IIS SSL证书安装 https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir

ℹ️ 安装时务必包含CA Bundle文件(中间证书链)。缺少CA Bundle是安装后证书链错误最常见的原因。

第6步 — 验证HTTPS

安装完成后,在浏览器中打开您的网站,确认地址栏中显示锁形图标。检查HTTP到HTTPS的重定向是否已生效。

CSR与私钥:生成了什么,为何重要?

如何安装SSL证书 – 分步指南

生成CSR时,服务器同时创建两个元素:

生成的元素 作用
CSR(公钥请求) 发送给证书颁发机构,包含域名、机构和公钥信息,可安全共享。
私钥 保留在服务器上,须严格保密。安装证书时与CSR匹配使用。在安装确认之前,切勿共享或删除。

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----

⚠️ CSR代码务必在托管您网站的服务器上生成。在其他服务器上生成的CSR将导致安装时私钥不匹配。

SSL安装常见错误

错误 后果 解决方案
未准备好验证方式就开始安装 验证无法完成,证书无法签发 安装前准备好邮件、DNS或HTTP访问权限
在错误的服务器上生成CSR 私钥不匹配,安装失败 始终在托管网站的服务器上生成
安装完成前删除私钥 证书无法安装,需重新生成CSR 安装确认前勿操作私钥
未包含CA Bundle 证书有效但浏览器仍提示"不受信任的证书链" 安装时包含完整的CA Bundle文件
未配置HTTPS重定向 即使安装了证书,访客仍通过HTTP访问 安装后启用301重定向
混合内容错误 页面中的HTTP资源触发浏览器警告 确认页面所有资源(图片、脚本、CSS)均通过HTTPS提供

安装后检查清单

  • 网站是否通过HTTPS正常打开?
  • 浏览器地址栏是否显示锁形图标?
  • 是否已配置HTTP到HTTPS的自动301重定向?
  • 是否存在混合内容错误?(F12 → 控制台)
  • 是否已验证CA Bundle / 证书链?(无链路错误?)
  • 是否已记录证书到期日期?
  • 是否已使用SSL检查工具确认安装?

为什么SSL证书很重要?

优势 说明
数据安全 加密访客与服务器之间的传输数据,保护登录信息、表单数据和支付信息
HTTPS与锁形图标 浏览器将HTTP网站标记为"不安全",HTTPS立即消除此警告
用户信任 访客在显示锁形图标的网站停留时间更长,转化率随之提升
SEO信号 HTTPS是搜索引擎的正面技术信号,HTTP网站在技术层面处于劣势
合规要求 PCI DSS、GDPR及大多数托管服务商政策现已将HTTPS列为基本要求
API与Webhook 许多第三方API和支付系统要求生产集成使用HTTPS端点

相关资源

资源 链接
API测试平台信息 https://www.domainnameapi.com/domain-name-api-test-platform-information
WHMCS集成指南 https://www.domainnameapi.com/tr/whmcs
域名经销商 https://www.domainnameapi.com/tr/domain-reseller
SSL经销商计划 https://www.domainnameapi.com/tr/ssl-reseller
Plesk SSL安装指南 https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir
cPanel SSL安装指南 https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir
IIS CSR创建指南 https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur
IIS SSL安装指南 https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir

常见问题解答

安装SSL是否需要CSR代码?

是的。CSR是SSL证书专门为您的域名签发所必需的。生成过程中创建的私钥在安装时同样不可或缺 — 两者须配合使用。

没有管理员邮箱可以安装SSL吗?

可以。邮件验证虽然最为常见,但并非强制要求。域名验证也可通过DNS TXT记录或HTTP文件验证方式完成,无需创建邮件地址。

如何通过DNS TXT记录完成验证?

证书颁发机构会提供一个特定的TXT记录值。将此值添加到域名DNS管理面板的@或指定子域名下。DNS传播通常需要5–30分钟,之后验证自动完成。

私钥是什么,为什么重要?

私钥是在生成CSR时在服务器上创建的机密密钥文件,安装证书时与CSR匹配使用。没有私钥,证书无法安装到服务器。安装完成之前,切勿共享或删除私钥。

CA Bundle是什么?

CA Bundle(中间证书链)是证书颁发机构随SSL证书一起提供的一组证书,用于确认您的证书与受信任的根CA相链接。缺少CA Bundle时,即使证书有效,浏览器也会显示"不受信任的证书链"错误。安装时必须包含CA Bundle。

什么是Wildcard SSL证书?

Wildcard SSL证书可用一张证书同时保护主域名及所有一级子域名(www、mail、shop等)。Common Name字段填写*.example.com。二级子域名(sub.sub.example.com)不在保护范围内。

SSL证书签发需要多长时间?

DV(域名验证)SSL证书通常在验证完成后数分钟内签发,有时甚至只需数秒。OV(机构验证)需要1–3个工作日,EV(增强验证)通常需要3–7个工作日。

可以将SSL证书迁移到其他服务器吗?

可以。从当前服务器导出证书文件、CA Bundle和私钥,然后通过控制面板导入到新服务器。若私钥已丢失,则需重新生成CSR并重新签发证书。

证书链错误是什么意思,如何解决?

证书链错误表示CA Bundle缺失或不正确。浏览器尝试将您的证书与受信任的根CA相链接,若中间证书缺失则会出现断点,浏览器将显示"不受信任的证书链"或"NET::ERR_CERT_AUTHORITY_INVALID"错误。解决方案:使用完整的CA Bundle文件重新安装证书。

安装SSL后HTTPS会自动生效吗?

不会。即使证书已安装到服务器,HTTP到HTTPS的重定向仍需单独配置。在cPanel和Plesk中通常一键即可启用;在IIS中则需要配置URL Rewrite规则。

如何在cPanel中安装SSL?

依次进入Security > SSL/TLS > Install and Manage SSL,粘贴证书、私钥和CA Bundle,然后点击Install Certificate。含截图的完整指南:https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir

如何在Plesk中安装SSL?

Domains > example.com > SSL/TLS Certificates > Add SSL/TLS Certificate,上传证书和私钥,然后在Hosting Settings中启用SSL/TLS支持和301重定向。完整指南:https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir

如何在IIS中创建CSR代码?

打开IIS Manager → 点击服务器名称 → Server Certificates → Create Certificate Request(Actions面板)。填写域名信息,将位长设置为2048或更高,保存输出文件。完整指南:https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur

验证链接过期后怎么办?

邮件验证链接通常有效期为24–72小时。DNS和HTTP方式的链接无有效期限制,订单在到期前(通常30天)始终保持有效。如遇任何验证问题,请通过您的Domain Name API经销商面板提交支持工单。

总结

SSL安装是一个两阶段、六步骤的流程。选择验证方式(邮件、DNS TXT或HTTP文件),在正确的服务器上生成CSR,妥善保管私钥,完成验证,连同CA Bundle一起安装证书,最后确认HTTPS正常运行。

✅ 安装完成后,请使用SSL检查工具确认证书配置正确。CA Bundle缺失是安装后最常见的问题,使用完整文件重新安装即可解决。