打开ZeroSSL 网站并 Log in。
在这里 「Enter Domains」输入框中输入你的源站 IP 地址并选择「Next Step」。
有效期选择 90-Day Certificate 即可, 如果你有钱买 1-Year Certificate 也不是不行对吧 ,然后「Next Step」。
CSR 这个让它自己生成就行了,直接「Next Step」。
后面这个也不用管 除非你想氪金 ,直接「Next Step」。
如果不出问题,你的订单应该已经提交成功并进入验证阶段。
验证阶段请选择「HTTP File Upload」并依照提示放置验证文件到指定位置,「Next Step」。
然后,单击「Verify Domains」。
如果没什么问题的话就会签发证书啦,接着你会被引导至安装页面。
在「Download Certificate」中选择你的 Web 服务,点击右侧「Download Certificate (.zip)」。
部署证书
在 宝塔面板 -> 网站 -> 站点修改 -> SSL -> 其他证书 中填入刚才签发的证书并确认。
NGINX 证书拼接方法:将 certificate.crt 中的内容置于前,ca_bundle.crt 中的内容置于后。
注意: 宝塔面板证书配置左侧需填写内容为 private.key(私钥文件),右侧才为证书文件,不要搞反了。
部署完成后访问 HTTPS://IP 应该会有「连接安全」、「证书有效」之类的提示并且会有一个小锁图标(新版 Chrome 为类似于向下箭头符号的图标)。
修改配置
一般地,我们认为 IP 地址不应被任何人直接访问;所以这一节将会教你如何禁止任何直接的访问。
本节以 NGINX 为例进行演示。
首先,进入 宝塔面板 -> 网站 -> 站点修改 -> 配置文件。
在 server{}
中,任意位置(建议直接插到 SSL-START 上方),插入 return 444;
并保存。
444
No Response Used internally to instruct the server to return no
information to the client and close the connection immediately.
此时,无论是以 HTTP 还是 HTTPS 访问 IP 地址都应该返回这个错误:ERR_EMPTY_RESPONSE,如果如此则证明配置正常。