给自建服务配置 HTTPS:证书申请、续期与安全检查

给自建服务配置 HTTPS:证书申请、续期与安全检查

HTTPS 不只是浏览器地址栏的锁标志,它保护登录凭据、Cookie 和接口数据在传输过程中不被窃听或篡改。配置前应先确保域名和公网入口稳定。

1. 准备域名与端口

将域名解析到服务器公网 IP,确认 80 和 443 端口可访问。证书验证失败时优先检查 DNS 生效和防火墙。

2. 选择自动化证书工具

使用成熟的 ACME 客户端申请证书,并让它负责续期。证书和私钥应限制读取权限,不要复制到公开仓库。

3. 配置 HTTP 跳转与安全 Cookie

证书生效后,将 HTTP 请求永久跳转到 HTTPS,并在应用中启用 Secure、HttpOnly 和合理的 SameSite 属性。

4. 验证续期而不只验证首发

执行续期模拟测试,检查定时任务、证书路径和重载命令。监控证书剩余天数,避免无人发现的过期。

常见误区

  • DNS 未生效就反复申请
  • 私钥权限过宽
  • 应用仍生成 HTTP 链接
  • 只申请证书不测试续期

执行检查清单

  • 域名解析正确
  • HTTP 全量跳转 HTTPS
  • 证书链完整
  • 续期模拟成功

总结

HTTPS 的完成标准不是今天能打开,而是证书能够长期自动续期,应用也始终以安全方式处理会话。

上一篇 Nginx 反向代理配置入门:域名、请求头与超时设置
下一篇 PostgreSQL 备份与恢复实战:别等故障发生才测试

探索站点内容

搜索文章、标签、分类

热门文章

暂无文章