打开ZeroSSL 网站并 Log in。

这里 「Enter Domains」输入框中输入你的源站 IP 地址并选择「Next Step」。

有效期选择 90-Day Certificate 即可, ~如果你有钱买 1-Year Certificate 也不是不行对吧~ ,然后「Next Step」。

CSR 这个让它自己生成就行了,直接「Next Step」。

后面这个也不用管 ~除非你想氪金~ ,直接「Next Step」。

如果不出问题,你的订单应该已经提交成功并进入验证阶段。

验证阶段请选择「HTTP File Upload」并依照提示放置验证文件到指定位置,「Next Step」。

然后,单击「Verify Domains」。

如果没什么问题的话就会签发证书啦,接着你会被引导至安装页面。

在「Download Certificate」中选择你的 Web 服务,点击右侧「Download Certificate (.zip)」。

部署证书

在 宝塔面板 -> 网站 -> 站点修改 -> SSL -> 其他证书 中填入刚才签发的证书并确认。

NGINX 证书拼接方法:将 certificate.crt 中的内容置于前,ca_bundle.crt 中的内容置于后。

注意: 宝塔面板证书配置左侧需填写内容为 private.key(私钥文件),右侧才为证书文件,不要搞反了。

部署完成后访问 HTTPS://IP 应该会有「连接安全」、「证书有效」之类的提示并且会有一个小锁图标(新版 Chrome 为类似于向下箭头符号的图标)。

修改配置

一般地,我们认为 IP 地址不应被任何人直接访问;所以这一节将会教你如何禁止任何直接的访问。

本节以 NGINX 为例进行演示。

首先,进入 宝塔面板 -> 网站 -> 站点修改 -> 配置文件。

server{} 中,任意位置(建议直接插到 SSL-START 上方),插入 return 444; 并保存。

444
No Response Used internally to instruct the server to return no
information to the client and close the connection immediately.

此时,无论是以 HTTP 还是 HTTPS 访问 IP 地址都应该返回这个错误:ERR_EMPTY_RESPONSE,如果如此则证明配置正常。