
HTTPS 不只是浏览器地址栏的锁标志,它保护登录凭据、Cookie 和接口数据在传输过程中不被窃听或篡改。配置前应先确保域名和公网入口稳定。
1. 准备域名与端口
将域名解析到服务器公网 IP,确认 80 和 443 端口可访问。证书验证失败时优先检查 DNS 生效和防火墙。
2. 选择自动化证书工具
使用成熟的 ACME 客户端申请证书,并让它负责续期。证书和私钥应限制读取权限,不要复制到公开仓库。
3. 配置 HTTP 跳转与安全 Cookie
证书生效后,将 HTTP 请求永久跳转到 HTTPS,并在应用中启用 Secure、HttpOnly 和合理的 SameSite 属性。
4. 验证续期而不只验证首发
执行续期模拟测试,检查定时任务、证书路径和重载命令。监控证书剩余天数,避免无人发现的过期。
常见误区
- DNS 未生效就反复申请
- 私钥权限过宽
- 应用仍生成 HTTP 链接
- 只申请证书不测试续期
执行检查清单
- 域名解析正确
- HTTP 全量跳转 HTTPS
- 证书链完整
- 续期模拟成功
总结
HTTPS 的完成标准不是今天能打开,而是证书能够长期自动续期,应用也始终以安全方式处理会话。