SSL证书怎么安装到服务器?主流Web服务器安装部署指南来了

随着互联网安全的重要性日益增加，为网站部署SSL证书已成为网络安全建设的底线要求。无论您运营的是电商平台、企业官网还是内部管理系统、个人博客资讯站，正确安装SSL证书不仅能实现HTTPS加密传输、防止中间人攻击，更是提升搜索引擎排名和用户信任度的关键举措。本文将详细介绍Tomcat、Nginx等主流Web服务器安装部署SSL证书的完整指南，并附上订阅锐安信 CaaS，配置clmBot实现SSL证书自动更新到Web服务器全流程。

一、主流Web服务器安装部署SSL证书

1、获取SSL证书

在安装之前，需要先获取SSL证书，您可以在锐成信息申请获取。可选择锐安信sslTrus、Sectigo、Digicert、CFCA等可信品牌，并根据网站性质、预算及需求选择合适的类型：

• 按安全级别分类：DV SSL证书，验证域名所有权；OV SSL证书，企业信息验证；EV SSL证书，额外扩展验证。
• 按域名保护数量分类：单域名SSL证书，保护一个域名；通配符SSL证书，保护一个主域及该主域下的所有二级子域；多域名SSL证书，保护多个不同主域或子域。

2、Tomcat安装部署SSL证书

上传证书文件：在 Tomcat 安装目录下新建 cert 目录，将证书和密码文件拷贝到 cert 目录下。

配置Tomcat：在Tomcat 安装目录 > conf 文件夹 > server.xml 文件添加以下内容

<Connector port="443"

    protocol="org.apache.coyote.http11.Http11NioProtocol" 

    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/domain.jks"   
    keystoreType="JKS"
    keystorePass=“#使用Tomcat文件夹中password文件中的内容”
    clientAuth="false"
    SSLProtocol="TLSv1,TLSv1.1,TLSv1.2"
 

ciphers="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE"/>

重启Tomcat：systemctl restart tomcat

3、Nginx 安装部署SSL证书

上传证书文件：将.crt 证书文件、.key 私钥文件从本地目录拷贝到Nginx 服务器的 /etc/nginx/ssl 目录下。

配置Nginx：编辑 Nginx 根目录下的 nginx.conf 文件。修改内容如下：

nginx.conf

server {
     listen 443 ssl;
     #填写自己的域名，多个域名用空格隔开
     server_name racent.com;

     #填写证书文件的相对路径或绝对路径    
     ssl_certificate cloud.tencent.com_bundle.crt;

     #填写私钥文件的相对路径或绝对路径
     ssl_certificate_key cloud.tencent.com.key;
     ssl_session_timeout 5m;
     ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
     ssl_prefer_server_ciphers on;
     location / {
         root /usr/share/nginx/html;
         index  index.html index.htm;
     }
 }

修改后保存配置文件并执行以下命令：

nginx -t         #验证配置文件是否正确
nginx -s reload   #重载 Nginx

备注：其他诸如阿里云负载均衡（SLB）、IIS、Exchange、Apache、Weblogic等服务器的SSL证书安装教程可在《手动部署证书》中查看。

二、配置clmBot实现SSL证书自动更新到Web服务器

1、订阅锐安信CaaS服务

在配置clmBot之前，您需要先订阅锐安信 CaaS服务，才能实现在订阅期内自动完成SSL证书的申请、部署、续期，以及各种监控扫描和预警服务。

2、配置clmBot实现SSL证书自动部署

1）下载clmBot并上传到服务器，地址地址：下载clmBot

2）初始化clmbot，先将clmbot格式修改为可执行：#chmod 755 clm-bot-linux-amd64

3）登录初始化: #./clm-bot-linux-amd64 login,依次输入 接入地址、AccessKey、AccessSecret 然后按回车键。

4）登录后台，进入clmbot可以看到新增了一条clmbot节点，点击“是否允许接入”激活clmbot。

5）自动扫描服务器上证书和存放路径。 命令：./clm-bot-linux-amd64 discover-certificate
命令执行后，会显示找到的证书信息和路径，输入Y确认添加到后台管理。

6）激活节点。登录后台进入安装点和访问点可以看到新增了节点信息，点击激活之后可以对节点进行管理。

7）Web服务器端将clmbot加入定时任务,Clmbot更新命令：/opt/clm-bot-linux-amd64 update-certificate (根据实际路径填写)

8）锐安信Caas管理后台，切换到SSL证书详情标签，设置证书自动重签周期。

备注：clmBot配置详细图文教程可参考《配置 clmBot》

安装SSL证书是保障网站安全、可信与可见的关键一步。上文我们介绍了手动部署证书的完整流程，也介绍了订阅锐安信 CaaS，配置clmBot实现SSL证书自动更新的便捷方案，希望能为您的网站安全建设提供实用参考。

值得一提的是，随着47天短证书有效期时代的到来，手动更新的频率和风险大幅上升，证书过期、配置失误、业务中断等问题愈发突出，传统运维方式已难以为继。对此，锐成信息推出两种SSL证书自动化方案：面向中小企业的轻量化方案—锐安信 CaaS，以及为金融、电信、政企等复杂环境设计的SSL证书自动化运维系统—锐安信CLM，实现SSL证书的自动申请、部署、续期与监控、预警，助您轻松应对管理难题，保障业务稳定运行。

若您想深入了解更详细的信息，欢迎随时联系我们，请致电400-002-9968详询。