嘿,兄弟姐妹们!今天咱们一起来点滴搞定腾讯云服务器上 SSL 证书的小目标。别担心,步骤跟吃泡面一样简单,一口一口打烊,咱就能把你的网站变得安全得像古代宫殿。准备好了吗?那就跟我一起冲鸭吧!
第一步:确认你手里的服务器。你可能是用云服务器CVM、轻量应用服务器或云服务器TCE,都没关系。拿到你服务器的公网 IP 或域名,云端的权限要给最低权限原则,让大家在不走正门就能跑的那种。说真的,权限太高跑问题,咱就不谈了。
第二步:切换到你最爱的 SSH 客户端。你可以用 PuTTY、OpenSSH 或者你家的 SSH 终端。
然后输入:
```ssh root@你的服务器IP```
登录以后先更新系统,别让老包塞你后腿。Linux 用户直接敲:
```sudo apt update && sudo apt upgrade -y```
如果你是 CentOS,记得改成:
```sudo yum update -y```
准备好了?继续往前走。
第三步:安装 Certbot。
Certbot 就像是官方的“这根钥匙能帮你搞定所有 SSL”神器,使用 Let's Encrypt 免费证书。如果你想快速上手,直接跑下面的命令:
```sudo apt install certbot python3-certbot-nginx -y```
你在 CentOS 里?那键:```sudo yum install certbot python3-certbot-nginx -y```。
别忘了安装 Nginx 或者 Apache 之前把没用的 startup 关掉,毕竟我们要给 Nginx 直接发二十块转盘。
第四步:#真香时刻# 申请证书。
终于到了高潮:
```sudo certbot --nginx -d 你的域名.com -d www.你的域名.com```
这一步会让 Certbot 与 Nginx 通信,自动为你的站点配置 HTTPS。Certbot 还会帮你设置自动续期,等同于给你的服务器装了自动续订的“防災包”。
如果你用的是 Apache,改成 --apache,就能顺势搞定。
第五步:检查验签。进入浏览器,你的域名前加「https://」,看右侧地址栏能看到绿锁,表示 SSL 成功。随手打开 https://caniuse.com/https,确认你的服务器在 HTTPS 兼容列表里。
第六步:补丁速递。 证书过期大概 90 天,Certbot 默认会在 60 天前自动申请续期。你可以手动跑一次:
```sudo certbot renew --dry-run```
如果没有报错,那就代表你正走在通往无忧网络的道路上。
第七步:自动化脚本完成。你也可以把 Certbot 绑定到 cron,每天跑一次:
```crontab -e```
在服务器上植入:
```0 3 * * * certbot renew --quiet```
这条命令会让系统在凌晨 3 点悄悄帮你续期,满足你凌晨不想被弹窗打扰的需求。
第八步:玩转高级功能。如果你想单聊玩 CDN、让 Nginx 使用 ECC 证书或者开启 HSTS,都可以在 /etc/nginx/sites-available/你的站点 里自行调节。记得每次修改记得 sudo nginx -t && sudo systemctl reload nginx 保持安全。
第九步:验证最终效果。你可以用 curl -I https://你的域名.com 查看响应码与 HTTPS 标头,或者直接在 https://ssllabs.com/ssltest/ 打个分。分数 10 分的更好,不过不至于你要成日面具都穿翻。
第十步:安全防护小技巧。给服务器加上 fail2ban,封锁恶意 IP;使用 ufw 或 iptables 限制流量;把服务器暴露给公网的端口里只放 80/443/22。不要让无所不在的 22 端口一直冒泡。
最妙一点的小提醒:如果你想在小项目里实验新奇的云特性,可以把你自己的小项目做成开源,玩玩 Cloud Function + 部署到腾讯云,