华为云HTTPS证书全流程部署指南:从申请到IIS/Nginx/Apache/Tomcat实战
1. SSL证书基础认知与选型
SSL证书是由权威证书颁发机构(CA)签发的数字凭证,用于验证网站身份合法性,并对客户端与服务器之间的传输数据进行加密,防止数据在传输过程中被窃取或篡改。您的网站使用SSL证书后,将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。
根据验证等级的不同,SSL证书主要分为三种类型:
- 域名型(DV):仅验证域名所有权,申请简单审核快,适合个人网站或测试使用。
- 组织型(OV):需要验证企业主体信息,安全性更高,适合企业官网和电商平台。
- 增强型(EV):需要严格审核企业资质,浏览器地址栏会显示绿色企业名称,适用于金融、支付等对安全要求极高的场景。
在华为云平台上,免费证书(即DV测试证书)一般仅用于个人网站或测试环境,不建议业务成熟的企业类型网站使用。对于政府、金融、医疗等机构,推荐选择OV或EV证书。泛域名证书只能保护同一级别的子域名,例如二级泛域名*.example.com可以保护test.example.com,但无法保护test.test.example.com这样的三级子域名。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
自2026年3月15日起,全球CA机构颁发的SSL证书有效期最长为200天,证书到期后将不再被浏览器信任,建议您提前开通自动续费或在证书即将到期前三十天进行手动续费,避免因证书过期对您的业务产生影响。
2. 证书申请流程
2.1 准备工作
在申请SSL证书之前,需要完成以下准备工作:
- 注册华为账号并开通华为云,完成实名认证。
- 为账户充值,确保有足够的资金购买证书。
- 确保购买证书的账号拥有以下权限:
- SCM Administrator / SCM FullAccess:云证书管理服务的管理权限。
- BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。
- DNS Administrator:云解析服务(DNS)的所有执行权限。
2.2 购买SSL证书
登录云证书与管理服务控制台。在SSL证书管理页面右上角,单击“购买证书”,进入购买证书页面。在购买证书页面,需要配置以下参数:
- 计费模式:SSL证书属于一次性计费产品。
- 服务类型:SSL证书-域名证书。
- 域名类型:支持“单域名”、“多域名”或“泛域名”。单域名证书仅保护一个域名,通配符证书可保护主域名及其所有子域名,多域名证书可同时保护多个不同的域名。
- 域名数量:域名类型为“单域名”和“泛域名”时,域名数量固定为1个;域名类型为“多域名”时,域名数量范围为2~250。
- 证书类型:DV、OV或EV。
选择适合自己网站的证书后单击“立即购买”,完成付款。
2.3 提交证书申请
成功购买证书后,您需要申请证书,即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。
操作步骤如下:
- 登录云证书与管理服务控制台。
- 在左侧导航栏选择“SSL证书管理 > SSL证书列表”,进入SSL证书列表页面。
- 在待申请证书所在行的“操作”列,单击“申请证书”,系统从右侧弹出申请证书详细页面。
在申请证书页面中,需要填写以下信息:
- 证书请求文件(CSR):推荐选择“系统生成CSR”,系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。如果选择“自己生成CSR”,则需手动生成CSR文件并将文件内容复制到对话框中,这种方式签发的证书不包含证书私钥。
- 绑定域名:当选择“系统生成CSR”时,需要手动输入证书需要绑定的域名。绑定域名时,如果需要绑定中文域名,请使用Punycode编码工具将中文域名编码后再申请。
如果申请的是DV证书且绑定的域名含有edu、gov、bank、live等敏感词,可能无法通过安全审核,建议选择OV或EV证书。
2.4 域名验证
证书提交申请后,需要进行域名授权验证,来证明您对所申请绑定的域名的所有权。常见的域名验证方式有两种:
- DNS验证:在域名解析平台添加CA提供的TXT或CNAME记录。
- 文件验证:在网站服务器指定目录上传CA提供的验证文件。
DV证书审核通常在几分钟到一小时内完成,而OV/EV证书因需要审核企业资质,耗时稍长,一般需要一到三个工作日。
2.5 组织验证
对于OV和EV证书,域名验证完成后,还需要配合CA机构确认企业/组织是否发起了此次的证书订单申请。组织验证完成后,CA机构将人工审核证书信息,审核通过后,将会签发证书。
域名验证和组织验证全部完成后,证书状态变更为“已签发”,此时证书即可使用。
3. 证书下载
证书签发后,在证书列表中看到证书状态变为“已签发”,在需要下载的证书所在行的“操作”列单击“下载”按钮。仅支持在证书有效期内不限次数的下载证书,下载后即可在服务器(华为云的或非华为云的均可)上进行部署。
根据申请证书时选择的“证书请求文件”方式的不同,下载的文件也有所不同:
- 系统生成CSR:下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”、“Pem”5个文件夹和1个“domain.csr”文件。
- 自己生成CSR:下载的证书包含了“server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码,分别是服务器证书和CA中间证书。签名证书私钥为用户自行保存的,华为云SSL证书管理不提供。
下载证书时,证书格式选择PEM(适用于Nginx和SLB),或者证书类型选择Nginx。
4. IIS服务器部署SSL证书
本章节介绍将证书安装到IIS服务器的完整步骤。
4.1 前提条件
- 证书已签发且“证书状态”为“已签发”。
- 已下载SSL证书。
- 证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。
- 待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即购买的是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。
4.2 步骤一:获取文件
在本地解压已下载的证书文件。从“证书ID_证书绑定的域名_IIS”文件夹内获得SSL证书文件“证书ID_证书绑定的域名_server.pfx”和密码文件“证书ID_证书绑定的域名_keystorePass.txt”。
4.3 步骤二:配置IIS
具体配置步骤如下:
- 安装IIS,请参照IIS相关安装指导进行安装。
- 打开IIS管理控制台,双击“服务器证书”。
- 在右侧操作栏中,单击“导入”。
- 在“导入证书”对话框中,选择证书文件(.pfx),输入密码文件中的密码。
- 单击“确定”完成导入。
- 在IIS管理控制台中,选择需要绑定证书的网站,单击右侧的“绑定”。
- 添加或编辑https类型的绑定,选择对应的SSL证书,单击“确定”。
4.4 步骤三:效果验证
部署成功后,可在浏览器的地址栏中输入“https://域名”,按回车键。如果浏览器地址栏显示安全锁标识,则说明证书安装成功。
5. Nginx服务器部署SSL证书
本文以CentOS 7操作系统中的Nginx 1.7.8服务器为例介绍SSL证书的安装步骤。
5.1 前提条件
- 证书已上传且状态为“托管中”。
- 已下载SSL证书。
- 证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增加“443”端口。
5.2 步骤一:获取文件
在本地解压已下载的证书文件。从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。
- “server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA。
- “server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。
5.3 步骤二:配置Nginx
将证书文件和私钥文件上传到Nginx服务器的证书目录(如/etc/nginx/ssl/)。修改Nginx配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的配置文件),配置示例如下:
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
root /var/www/html;
index index.html index.htm;
}
}配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口,可能会导致Nginx无法启动。
5.4 步骤三:重启Nginx并验证
执行以下命令检查配置是否正确并重启Nginx:
nginx -t
systemctl restart nginx部署成功后,可在浏览器的地址栏中输入“https://域名”进行验证。
6. Apache服务器部署SSL证书
本文以CentOS 7操作系统中的Apache 2.4.6服务器为例介绍SSL证书的安装步骤。
6.1 前提条件
- 证书已上传且状态为“托管中”。
- 已下载SSL证书。
- Apache服务器上已安装了mod_ssl.so模块(启用SSL功能)。
- 证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增加“443”端口。
6.2 步骤一:获取文件
在本地解压已下载的证书文件。从“证书ID_证书绑定的域名_Apache”文件夹内获得以下文件:
- “证书ID_证书绑定的域名_ca.crt”:中级CA证书代码。
- “证书ID_证书绑定的域名_server.crt”:服务器证书代码。
- “证书ID_证书绑定的域名_server.key”:私钥代码。
6.3 步骤二:配置Apache
将证书文件和私钥文件上传到Apache服务器的证书目录。修改Apache配置文件(通常是/etc/httpd/conf.d/ssl.conf或/etc/apache2/sites-available/default-ssl.conf),配置示例如下:
<VirtualHost *:443>
ServerName www.example.com
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/server.crt
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCertificateChainFile /etc/httpd/ssl/ca.crt
<Directory /var/www/html>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
</VirtualHost>6.4 步骤三:重启Apache并验证
执行以下命令检查配置并重启Apache:
apachectl configtest
systemctl restart httpd部署成功后,可在浏览器的地址栏中输入“https://域名”进行验证。
7. Tomcat服务器部署SSL证书
本文以Linux操作系统中的Tomcat7服务器为例介绍SSL证书的安装步骤。Tomcat的SSL配置本质上是对Java KeyStore(JKS)或PKCS#12格式密钥库的管理与引用。
7.1 前提条件
- 证书已签发且“证书状态”为“已签发”。
- 已下载SSL证书。
- 已安装OpenSSL工具(要求OpenSSL版本必须是1.0.1g或以上版本)。
- 已安装Keytool工具。
- 证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增加“443”端口。
7.2 步骤一:获取文件
在本地解压已下载的证书文件。从“证书ID_证书绑定的域名_Tomcat”文件夹内获得证书文件“证书ID_证书绑定的域名_server.jks”和密码文件“证书ID_证书绑定的域名_keystorePass.txt”。
如果申请证书时选择了“自己生成CSR”,则需要使用OpenSSL工具将pem格式证书转换为PFX格式证书,得到“server.pfx”文件。
7.3 步骤二:配置Tomcat
将server.jks文件上传到Tomcat服务器的conf目录下(或自定义目录)。修改Tomcat的conf/server.xml配置文件,配置示例如下:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true"
scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/server.jks"
keystorePass="证书密码" />此过程必须确保私钥密码、密钥库密码、别名(alias)三者统一,且密钥库路径需在Tomcat的conf/server.xml中精确指定。如果密码中包含“&”,请将其替换成“&”,以免配置不成功。
7.4 步骤三:重启Tomcat并验证
重启Tomcat服务使配置生效:
sh bin/shutdown.sh
sh bin/startup.sh部署成功后,可在浏览器的地址栏中输入“https://域名”进行验证。
8. 一键部署到华为云云产品
华为云CCM支持一键将数字证书部署在已经开通的云产品中,如弹性负载均衡(ELB)、Web应用防火墙(WAF)、内容分发网络(CDN)等。用户只需在CCM控制台中,选择目标证书并单击“部署证书”即可完成部署。
操作步骤如下:
- 登录云证书与管理服务控制台。
- 在左侧导航栏选择“SSL证书管理 > SSL证书列表”,进入SSL证书列表页面。
- 在目标证书所在行的“操作”列,单击“部署证书”。
- 在部署证书页面的“部署详情”下,选择对应的云产品(CDN、ELB或WAF)。
- 选择当前证书中需要部署的域名,单击“部署”或“重新部署”。
注意:申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书并进行部署。目前SSL证书管理平台只支持上传PEM格式的证书。
9. 证书续费与自动续费
自2026年3月15日起,全球CA机构颁发的SSL证书有效期最长为200天。为避免证书到期未及时续费,可以设置开通自动续费。
9.1 自动续费
开通自动续费后,系统将在证书即将到期前30天内自动续费购买一张相同规格的新证书,并以原证书的申请信息提交证书申请。由于证书申请需要校验申请者的域名所有权、身份,因此需要配合CA机构完成域名验证。
开启自动续费的操作步骤:
- 登录云证书与管理服务控制台。
- 在左侧导航栏选择“SSL证书管理 > SSL证书列表”,进入SSL证书列表页面。
- 在需要续费的证书所在行的“自动续费”列中单击开关按钮。
- 阅读并勾选相关声明,确认开通。
9.2 手动续费
SSL证书的手动续费操作入口仅在SSL证书到期前30个自然日内开放,其余时间不支持操作。续费证书可复用之前的信息,系统预填资料,确认后直达付款环节。证书续费时,新证书的有效期将在您选择的年限基础上,补齐原证书剩余的有效期(补齐部分最长不超过30天)。
注意:上传的证书、免费证书和单域名扩展包不支持续费。
10. 常见部署问题排查
10.1 证书部署失败
申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书不支持部署到云产品。解决方法:先将证书下载到本地,然后再到对应的云产品控制台上传数字证书并进行部署。
10.2 证书链不齐全
当使用SSL证书进行HTTPS配置时,如果出现HTTPS配置证书失败,提示证书链不齐全的情况,请检查证书链是否填写完整,是否按照格式添加,是否将所有证书填写完整,证书顺序是否正确。
10.3 网站仍然显示不安全
部署SSL证书后,如果网站仍然出现不安全提示,可能的原因包括:
- 访问的域名与证书域名不一致。
- 网站内使用了非HTTPS素材,包括图片、CSS、js等。
- SSL证书已到期。
- 浏览器缓存较多。
10.4 443端口未开放
证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。如果一个域名有多个服务器,则每一个服务器上都要部署。
11. 总结
华为云SSL证书的全流程部署涵盖了从证书选型、购买、申请、域名验证、下载到服务器安装配置的完整链路。无论是IIS、Nginx、Apache还是Tomcat,核心流程都是获取证书文件、配置服务器、重启服务并验证效果。对于华为云生态内的用户,一键部署到ELB、WAF、CDN等功能大大简化了部署复杂度。同时,建议在生产环境中开启自动续费功能,避免因证书过期影响业务。
常见问题解答
问1:华为云免费SSL证书和付费证书有什么区别?
答:华为云免费证书(DV测试证书)仅验证域名所有权,申请简单审核快,适合个人网站或测试使用,但有效期较短且不支持续费。付费证书(OV/EV)需要验证企业身份,安全性更高,适用于企业官网、电商平台、金融支付等生产环境。
问2:申请证书时CSR选择“系统生成”和“自己生成”有什么区别?
答:选择“系统生成CSR”时,系统自动生成公私钥对,证书签发后可直接下载包含私钥的完整证书包,推荐大多数用户使用。选择“自己生成CSR”时,需自行生成CSR并保管私钥,证书签发后不包含私钥,且不支持一键部署到云产品。
问3:一个SSL证书可以绑定多个域名吗?
答:可以。多域名证书可同时保护多个不同的域名,域名数量范围为2~250个。泛域名证书可保护主域名及其所有子域名。
问4:证书部署后浏览器仍然显示“不安全”怎么办?
答:请检查以下方面:访问的域名是否与证书绑定的域名一致;网站内是否包含HTTP资源(图片、CSS、JS等);证书是否已到期;浏览器缓存是否需要清除。
问5:证书到期后如何续费?
答:可以在SSL证书到期前30天内进行手动续费,也可以提前开通自动续费功能。开通自动续费后,系统将在证书到期前30天内自动续费购买新证书。注意:免费证书不支持续费。
问6:部署证书前需要开放哪些端口?
答:需要在服务器上开启“443”端口,同时在云平台的安全组中增加“443”端口规则,否则安装后仍然无法启用HTTPS。




