1.1 选择合适的SSL证书类型

根据需求选择适合的证书类型：

• DV证书：域名验证型，适合个人网站
• OV证书：组织验证型，适合企业网站
• EV证书：扩展验证型，适合金融等高安全要求网站

1.2 获取SSL证书

可以从以下渠道获取证书：

1. 商业CA机构（如DigiCert、GlobalSign等）
2. 免费证书提供商（如Let’s Encrypt）
3. 云服务商提供的证书服务

2.1 确认服务器环境

执行以下命令检查服务器环境：

# 查看系统版本
cat /etc/os-release

# 检查Web服务器类型
nginx -v
apachectl -v

2.2 安装必要工具

安装OpenSSL和证书管理工具：

# Ubuntu/Debian
sudo apt-get update
sudo apt-get install openssl

# CentOS/RHEL
sudo yum install openssl

3.1 上传证书文件

将获取的证书文件上传到服务器，通常包括：

• 证书文件（.crt或.pem）
• 私钥文件（.key）
• CA证书链文件（可选）

建议存放在/etc/ssl/certs目录下。

3.2 Nginx服务器配置

修改Nginx配置文件：

server {
    listen 443 ssl;
    server_name example.com;
    
    ssl_certificate /etc/ssl/certs/your_domain.crt;
    ssl_certificate_key /etc/ssl/private/your_domain.key;
    
    # 启用TLS 1.2/1.3
    ssl_protocols TLSv1.2 TLSv1.3;
    # 优化加密套件
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384...';
    
    # 其他配置...
}

3.3 Apache服务器配置

修改Apache配置文件：

<VirtualHost *:443>
    ServerName example.com
    
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/your_domain.crt
    SSLCertificateKeyFile /etc/ssl/private/your_domain.key
    SSLCertificateChainFile /etc/ssl/certs/ca_bundle.crt
    
    # 其他配置...
</VirtualHost>

4.1 测试配置

执行以下命令测试配置是否正确：

# Nginx测试
nginx -t

# Apache测试
apachectl configtest

4.2 重启服务

配置无误后重启服务：

# Nginx重启
systemctl restart nginx

# Apache重启
systemctl restart httpd

4.3 验证HTTPS

使用以下工具验证：

• 浏览器访问https://您的域名
• SSL Labs测试工具（https://www.ssllabs.com/ssltest/）

5.1 HTTP强制跳转HTTPS

Nginx配置示例：

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

5.2 启用HSTS

在配置文件中添加：

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

5.3 OCSP Stapling配置

Nginx配置示例：

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/certs/ca_bundle.crt;