1. 获取服务器证书文件

下载好压缩包，解压nignx格式证书server.crt 
2. 安装服务器证书
复制 server.key、server.crt 文件到 Nginx 安装目录下的 conf 目录。
打开 Nginx 安装目录下 conf 目录中的 nginx.conf 文件
找到
# HTTPS server
#
#server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.crt;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4 RSA: HIGH: MED
IUM: LOW: SSLv2: EXP;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
将其修改为
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
保存退出，并重启 Nginx。
通过 https 方式访问您的站点，测试站点证书的安装配置。

本文主要介绍如何在Microsoft Exchange 2010中安装由权威机构(以下简称CA)签发的证书，如果是自签名证书请参考微软官方自签名证书文档，同Web应用服务器一样，如果是多台服务器的Exchange需要在每一台上都安装此证书。

一、准备

1. 签发证书

签发证书也就是经过CA验证过域名或者企业信息后所签发的域名证书，例如邮件服务器会使用 smtp.yourdomain.com 作为邮件发件服务器地址，那么该证书验证的域名就是 smtp.yourdomain.com，而smtps协议只是smtp的一个延伸，在应用层和smtp是一样的，smtps使用的是465端口。

2. 中级证书

一个完整的证书链应该由证书 中级证书A 中级证书B ... 根证书构成，所以通常，由CA签发的证书压缩包中会有1个或者多个中级证书，另外多家CA的中级证书在官网上有下载，关于合并中级证书请参考：SSL证书链不完整导致浏览器不受信任

3. 私钥

私钥通常是在准备CSR证书请求文件时生成，使用openSSL生成存在CSR文件的同级目录中 - 生成CSR证书请求文件 ，使用在线工具会将随机生成的私钥 CSR发送到邮箱中，使用IIS生成CSR要求在完成证书请求后提取私钥 - SSL/TLS多种证书类型的转换。

此外Exchange也和IIS一样提供新建证书请求和完成证书请求一样的功能。

二、安装步骤

1. Exchange管理控制台中导入证书

开始菜单中打开Exchange 管理控制台 - 服务器配置 - 导入Exchange证书，选择签发的pfx格式证书，或者普通的x.509格式证书转换为pfx证书 - SSL/TLS多种证书类型的转换，输入pfx证书密码，完成导入证书。

注意：本文使用的是合并后的pfx证书，

2. 服务器配置

点击数据库管理，选择服务器配置 - 右键点击导入的证书 - 为证书分配服务 - 选择指定的服务（Internet邮件访问协议、邮局协议、简单邮件传输协议、Internet信息服务）。

点击下一步 - 分配 - 如果提示是否覆盖SMTP就点击是 - 完成，即可完成证书分配服务。

三、使用Exchange生成CSR请求文件和完成证书安装

上述建立在既有的pfx证书前提下进行的导入证书并配置服务，而Exchange 2010也和IIS一样，具备新建证书请求 和 完成证书请求功能。此举可以代替openSSL和IIS的制作证书过程。

1. 新建证书请求

打开 Exchange管理控制台 - 新建 Exchange 证书

在域范围页中，如果希望制作通配符证书可以启用此项，如果非通配符证书在下一步进行子域名设置，选择下一步。

2. 填写CSR证书请求文件信息

和其它CSR制作一样，设定通用名称为一个子域名，例如 smtp.yourdomain.com，然后填写组织、单位等信息、邮箱等信息点击完成，这样就完成了整个证书请求文件的生成。此时私钥也一并生成，将此CSR文件填写到在线生成CSR输入框内自助申请数字证书 申请证书。

3. 完成证书安装

CA签发证书后，在Exchange管理控制台中点击完成等待请求，选择签发的证书，点击完成也完成了证书导入工作。

注意：Exchange 2010有时会提示错误信息The source data is corrupted or not properly Base64 encoded.通常这是自签名证书引起，尝试重新制作CSR。

四、Exchange 命令行管理程序进行安装

你可以使用Exchange 命令行管理程序进行安装由CA签发的证书，具体命令如下：

1. 导入pfx证书

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:your_domain_name.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

2. 使用Exchange 新建证书过程

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

注意：注意SMTP可以修改为 "IIS,POP,IMAP,SMTP"支持多个选项

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Servi

Nginx在不同的系统中部署的方式也会有所不同，下面是整理了一份关于Nginx for Mac- SSL证书安装部署的详细指南
1.证书的获取

在资料通过CA审核之后，我们会将适配您的Nginx证书文件发送给您，发送文件包含以下两个部分（如图）：

一份后缀名.key的为证书私钥，而后缀名.pem的是证书文件，下载下来之后请妥善保管，注意备份，以防丢失。若在下载证书过程中出现问题，请及时与我们联系，我们会给予到您帮助。

2.安装SSL证书

在启动Nginx之后，同样的，我们需要在Mac里面找到Nginx文件，具体的步骤如下：

首先，我们打开系统命令执行程序（如图）



在进入之后，我们输入Nginx目录路径cd usr/local/etc/nginx/nginx.conf一般的Nginx文件都是存放在这个目录里，若有改动文件位置，同样的找到文件路径就可以了。

我们输入cat nginx.conf，查看我们需要修改的源代码，进行修改。


在这里，一般的我们需要添加一个适配https协议的443端口，具体的做法是，加入server这段代码，注意修改端口、网址以及证书和私钥几个关键部分，具体修改如下图所示。就这样，Nginx- SSL证书安装部署就算完成了。

下载好证书压缩包，把证书格式转换为jks格式

参考本文前，请准备好.jks文件 定位到tomcat的安装目录，找到conf下的server.xml文件
找到相应的代码：

参照下图，按照您服务器实际情况修改配置文件：

压后的压缩包内tomcat/文件夹内的密码为准。 
对于Tomcat nignx系统，如果以上方法配置不成功，请在nignx里配置，证书 密钥key即可

下载好压缩包，压缩获得apache的证书文件

第一步：修改apache目录下的httpd.conf配置文件

1、#LoadModule ssl_module modules/mod_ssl.so删除行首的配置语句注释符号“#”

2、Include extra/httpd-ssl.conf 将这行的注释的“#”去掉

第二步：

编辑extra/httpd-ssl.conf文件，修改如下内容：

ServerName 后面改成你的网站域名，可以不带端口号
DocumentRoot后面改成网站路径
SSLCertificateFile 后面改成server.crt文件路径
SSLCertificateKeyFile 后面改成server.key文件路径
SSLCertificateChainFile 后面改成ca.crt文件路径


ErrorLog 这行开头的可以注释掉(前面加#号）
TransferLog 这行开头的可以注释掉(前面加#号）
CustomLog 这行开头的可以注释掉(前面加#号）


3.phpstudy配置指定路径访问https（仅供参考，可以不用）。

RewriteEngine on 
RewriteCond %{REQUEST_URI} /homework 
RewriteRule^(.*)?$ https://%{SERVER_NAME}$1[L,R] 

如果您拥有网站，则需要安全套接（SSL）。您网站需要受到保护，并为网站的所有访问者提供安全的浏览体验。如今SSL证书不再是一种奢侈，而是必不可少的。

根据Google在2018年实施的规则，未安装SSL /传输层安全性（TLS）证书的网站被流行的网络浏览器（例如Google Chrome和Firefox Mozilla）标记为“不安全”。无论您拥有哪种网站，从个人博客到电子商务门户，都需要SSL认证。

是否想知道SSL为什么必不可少的其他原因？

这是SSL的5大主要优点。

1. SSL保护您的数据
SSL证书的核心功能是保护您的服务器-客户端通信。通过安装SSL，信息的每一位都会被加密。在处理敏感数据（例如ID，密码，信用卡号等）时，SSL可帮助您防止黑客和盗窃者。随着SSL将数据转换为无法解密的格式，事实证明，黑客的技能对SSL证书不可替代的加密技术毫无用处。

2. SSL确认您的身份
SSL证书的第二个主要任务是向网站提供身份验证。就网络安全而言，身份验证是最重要的方面之一。当您要安装SSL证书时，必须经历一个称为证书颁发机构（CA）的独立第三方设置的验证过程。根据证书的类型，CA会验证您和您的组织的身份。一旦证明了自己的身份，您的网站就会获得可以证明您诚信的信任指标。当用户看到他们时，他们知道他们正在和谁聊天。

3.提高您的网站搜索引擎排名
当您的网站启用HTTPS时，您最终可以实现自己的目标，成为Google的首页。大约6年前，Google对其算法进行了更改，以使启用HTTPS的网站更具优势。全球SEO专家进行的各种研究已经证明了这一点。Backlinko.com的创始人Brian Dean进行的一项此类研究表明，HTTPS与较高的搜索引擎排名之间存在很强的相关性。这是一个足够好的理由，对吧？

4. SSL可以帮助您满足PCI / DSS要求
如果您接受在线支付，则必须对PCI / DSS要求有所了解。要接收在线付款，您的网站必须符合PCI。安装SSL证书是支付卡行业（PCI）设置的12个主要要求之一。因此，SSL是必不可少的。

5. SSL提高了客户信任度
除了加密和身份验证之外，从客户信任度的角度来看，SSL证书也至关重要。易于识别的标志告知用户他们发送的数据将受到保护。而且，如果您安装了OV或EV SSL，他们可以查看您组织的详细信息。一旦他们知道您是合法实体，他们就更有可能与您开展业务，甚至重新访问您的网站。

给网站配置SSL证书，有很多好处，网站更安全、防止信息泄露、预防流量劫持、建立用户信任感等等。但是SSL证书五花八门，甚至一个颁发机构，就有很多证书类型，它们有什么区别一般人很难辨别清楚，证书的价格从几千到几万不等，怎么选择一个适合自己网站的SSL证书，是摆在很多开发者、企业的一道难题。

这一篇文章，将带你揭开SSL证书的神秘面纱，怎么选，选什么，将有一个清晰的认识。

证书类型

SSL证书一共有三种类型：域名型(DV)，企业型(OV)，增强型(EV)。

(1) 域名型(DV)

DV是一种基础型的证书，适合小微企业、API服务和个人网站使用。它的优点是便宜，且审核速度较快，缺点也很明显，安全程度较低。DV证书可验证域名的归属，杜绝信息劫持。

成功配置DV证书后，浏览器地址栏会出现一个加锁的标记。

(2) 企业型(OV)

企业型比起域名型，更高级，适合企业应用、官网、电商平台等。申请OV证书，必须是企业身份，个人无法申请，审核速度适中，1-2个工作日内可以通过申请。OV证书可以提升系统安全，确保敏感信息不会被劫持。

成功配置SSL证书后，浏览器地址栏会出现一个加锁的标记，不同于域名型证书，企业型证书还会在证书详情中，展示企业信息。

(3) 增强级(EV)

顶级证书，适合对安全级别要求很高的企业，如金融平台、大中型企业，或者政府机关。EV能最大程度保障信息安全和网站公信力，价格最贵，是大网站的标配。在三种证书中，增强级证书审核是最严格的，颁发速度也是最慢的。

部分浏览器访问到EV证书时，会在地址栏展示出公司名称，并且地址栏会变为绿色。

可购买的证书订单模式

通常市场上有两种可购买证书的订单模式，一种是固定模式，一种是弹性模式。

(1) 固定模式

我们所说的固定模式，指的是直接购买单域名证书，或者通配符。比如你是蔚可云的站长，购买单域名证书后，www.wecloud.cn和wecloud.cn都能得到证书保护，但旗下的子域名，如a.wecloud.cn就无法得到SSL证书保护了。

那什么是通配符证书呢?它可以保护一个域名下，所有的子域名，比如购买通配符域名后，不仅主域名会得到保护，a.wecloud.com等子域名，都会得到保护。

单域名和通配符，只在保护站点数量有区别，单域名价格便宜，适合初创公司及站点少的企业，通配符适合站点数量较多的企业。

(2) 弹性模式

比起固定模式，弹性域名更灵活。它支持单域名，也支持通配符，还可以多个域名混合使用，甚至还可以加入IP地址，组合成一张证书方便管理。

以上就是SSL证书的购买攻略。总的来说，小企业，站点少，选择普通的单域名证书即可。对站点安全要求要，选择增强型证书。站点多，则选择通配符才能满足需求。需要根据自身的需求来选择合适的SSL证书。

为网站部署SSL证书是每一个网络运营者对于网络安全应尽的责任和义务。作为互联网安全产品中的一种，SSL证书能验证网站身份，对数据进行加密传输。但是，由于网络安全意识不强，部分企业为了节约成本，选择不做或者使用免费的自签名SSL证书。

在互联网时代，拒绝为网站部署SSL证书的行为是绝对错误的。网站在没有保护的情况下，极易被黑客攻击，导致大量隐私数据泄漏，严重影响网络安全防护体系的建设。那如果使用免费的自签名SSL证书又会怎样呢?

提及免费自签名SSL证书，网络上可申请到的方式有很多。这些平台能提供的免费SSL证书大都是DV证书，免费期限多为一年或一年以内，到期后需要主动续签。若是疏忽忘记更新，会导致证书过期，从而为企业带来利益和品牌的双重损失。当然，因为权威机构出具的SSL证书申请过程繁琐且周期较长，成本较高，续签的SSL证书一般也不会很便宜。

其实，SSL证书一般分为DV SSL、OV SSL和EV SSL三种。因验证级别不同价格也各异，各个网络运营者可以根据自身网站的类型选择安装。

DV SSL证书，即域名型(基础型)SSL证书，签发速度快，能够保证信息传输安全，价格便宜，对于个人网站是一个不错的选择。但是，对于企事业单位和银行系统、金融机构、电商平台等，由于对网络安全要求较高，使用免费的DV SSL证书显然是不合适的。

目前，由于免费的DV SSL证书过于泛滥，许多欺诈网站也都开始部署以骗取用户的隐私信息。市场上存在的不验证网站实体身份，而只验证域名所有权的DV SSL证书，当欺诈网站部署后，也可能有 https:// 安全锁标志。所以，当我们在看到网站有安全锁标志的时候不能简单地直接认为它就是可信网站。

安全锁标志只能保证信息是加密传输的，还应该通过查看该证书是什么类型的证书，以此判断此网站上显示的确实是现实世界中的某个公司。

随着互联网的快速发展，为了确保技术人员采用最新加密标准的SSL证书保护网站安全性，减少证书被盗用的风险，SSL证书的寿命正在逐渐缩短。最早的证书寿命是8年，后来慢慢缩短为5年、3年、2年。从 2020 年 9 月 1 日开始，苹果、谷歌、Mozilla 的浏览器和设备将对有效期超过 398 天的新SSL证书显示错误。

这就意味着，企业需要每年进行一次证书申请。合同到期后，很多企业因为专业人才缺乏，可能会忘记或不知道该如何申请，建议寻找有专业顾问提供一对一提醒服务，并可协助用户准备申请材料，能有效规避因证书过期而产生的资金流失、品牌受损等后果，让用户省时省力又省心。

Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 ！

服务器Windows 2008均是R2的TLS1_2协议默认是关闭的 需要手动启用。

导入证书后没有对协议及套件做任何的调整。证书导入后检测到套件是支持ATS需求的，但协议TLS1_2没有被启用，ATS需要TLS1_2的支持。

虽然域名已经加上了ssl，但TLS 1.2 提示不显示，TLS 1.0 或 TLS 1.1，这两个 TLS 版本都已过时。

如图：

可使用的ssltools工具：ssltools工具 （点击下载）

勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持，在加密套件中选中带ECDHE和DHE就可以了。

移动SSL证书分为两个部分。

首先，您将需要在旧服务器上导出证书。然后，您将需要将证书导入到新服务器。

以下是这两个步骤的详细过程描述：

这是导出到现有服务器上的证书应遵循的步骤：

1）转到开始->运行并输入MMC 

2）从菜单栏中，选择控制台->添加删除管理单元

3）单击“添加”按钮。选择“证书”管理单元，然后再次单击“添加”。

4）选择“计算机帐户”。点击下一步。

5）选择“本地计算机”，单击“完成”。

6）现在，单击“关闭”，然后单击“确定”。

7）现在，在MMC中展开“证书”对象，然后向下钻取至“个人”->“证书”。

8）您应该看到您现有的证书。列出。右键单击证书，然后转到“所有任务”->“导出”。

9）选择“是，导出私钥”。点击下一步”。

10）在下一个屏幕上，保留默认设置，然后单击“下一步”。

11）输入密码以保护导出的证书。点击下一步。

12）输入文件名。证书将导出到该文件名。点击下一步。

13）单击完成。在目标服务器上，请按照以下步骤操作：

1）将导出的文件复制到新服务器上2）请按照上面概述的步骤1-7进行操作3）

右键单击certificiates文件夹，然后选择“所有任务->导入” 4）单击下一步。浏览到在步骤1中复制的文件。单击“下一步”。5）输入在上面的步骤11中输入的密码。选中“将私钥标记为可导出”框。单击“下一步”。6）您要将证书放入“个人存储”中-默认情况下处于选中状态。点击下一步。7）单击完成。8）现在，您将需要进入IIS并将SSL证书分配给该站点。