老板深夜打电话给我，“赶紧看下，网站SSL证书要过期了”

那个深夜，小马正在做不可言喻的事情，正当兴起，突然电话响了，吓得小马一激灵。

小马此时已经感受到了一阵BUG出现后的不安，像一股气堵着胸口，小心翼翼地按开了接听键。

“喂，小马。我刚收到邮件，那个说网站证书要过期了，你赶紧去看一下啊”。

what？就这？小马心上悬着的石头顿时落下，三条黑线已然挂上了柳梢头。

一、什么是网站SSL证书

我们来看百科怎么说，其实简单的概念百科这里已经安排得明明白白了。小马之所以拷贝一份过来，是因为小马知道如果不是研究技术的老板，一般连百度一下百科都懒得（没时间）去搞呢，所以整理这点小事还是小马一起效劳了。

SSL主要提供认证用户和服务器，确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取; 维护数据的完整性，确保数据在传输过程中不被改变。

大道理小马也不想呱噪那么多，简单通俗地理解为，本来你的网站可能支持HTTP协议的，但为了满足某些要求（比如微信小程序接口）或者未来自身网站数据传输的安装，都会选择HTTPS协议通信，因为与http不同的是其传输过程数据不是明文的而是加密的。那这里SSL证书就充当了类似于一个加密认证的过程。我们借助一张图来直接直观理解一下https过程。

对称加密效率高。

一图理解加解密认证过程：

图糟理不糟

我们注意到其实证书是充当了一个密钥校验的过程。而这个服务器证书上的ca机构的根证书（专门发布证书的机构）必须要在本地电脑是存在的（一般浏览器自带，也可以自己添加--这就是怎么自己生产证书了，也就是为什么自己生产的证书要发给用户并装到用户的浏览器里才可以），否则会报警（通常谷歌浏览器URL前面会显示一个红色的不受信任的警告标识）。

好了，讲了一堆大道理，还是直接上手吧。

二、如何安装SSL证书

如何安装ssl证书来让自己的网站支持https访问呢？

1、获取证书

这个证书当然是需要去签发机构申请了，然而大部分是收费，当然也有免费的。我们如果没什么特殊的要求直接申请免费的就行。小马有注册过阿里云，上面是可以直接申请免费证书的（有效期一年）。申请完绑定一下域名，按照提示操作验证一下域名和机器是属于你的即可。

按照自身的服务器环境（nginx/apache等等）下载申请到的证书，解压后一般会得到三个文件，大致如下：

文件说明：

1. 证书文件214040678080938.pem，包含两段内容，请不要删除任何一段内容。

2. 如果是证书系统创建的CSR，还包含：证书私钥文件214040678080938.key、证书公钥文件public.pem、证书链文件chain.pem。

2、配置web服务器配置文件

（1）上传证书到指定目录。以apache为例（阿里云上其实也有详细的配置教程，也可以直接参考），将解压下来的文件上传到web配置文件夹下的证书的目录下，没有证书目录就先创建一个。命令参考如下：

将证书文件上传的指定的cert目录

( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到以下内容并去掉“#”：有些已经去掉的就这一步先跳过不管。

#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)

#Include conf/extra/httpd-ssl.conf

( 3 ) 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf，与操作系统及安装方式有关)，在配置文件中查找以下配置语句:

# 添加 SSL 协议支持协议，去掉不安全的协议

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

# 修改加密套件如下

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4

# 证书公钥配置

SSLCertificateFile cert/public.pem

# 证书私钥配置

SSLCertificateKeyFile cert/214040678080938.key

# 证书链配置，如果该属性开头有 '#'字符，请删除掉

SSLCertificateChainFile cert/chain.pem

参考如图：