📖 SSL 证书全平台导入教程

适用于 Let's Encrypt 签发的 fullchain.pem + privkey.pem

Nginx
Apache
IIS
Caddy
Tomcat
宝塔面板

Nginx 导入证书

  1. 将两个文件上传到服务器:
    /etc/nginx/ssl/fullchain.pem
    /etc/nginx/ssl/privkey.pem
  2. 编辑 Nginx 配置: 
    server {
    listen 443 ssl http2;
    server_name your-domain.com;

    ssl_certificate     /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    root /var/www/html;
    index index.html;
}
  3. 测试配置并重载:
    sudo nginx -t
    sudo systemctl reload nginx

Apache 导入证书

  1. 上传文件:
    /etc/ssl/certs/fullchain.pem
    /etc/ssl/private/privkey.pem
  2. 启用 SSL 模块:sudo a2enmod ssl
  3. 编辑虚拟主机配置: 
    <VirtualHost *:443>
    ServerName your-domain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile      /etc/ssl/certs/fullchain.pem
    SSLCertificateKeyFile   /etc/ssl/private/privkey.pem
    SSLCertificateChainFile /etc/ssl/certs/fullchain.pem
</VirtualHost>
  4. 重载 Apache:sudo systemctl reload apache2

IIS (Windows) 导入证书

  1. 下载 fullchain.pemprivkey.pem 到 Windows 服务器
  2. 使用 OpenSSL 转换为 PFX 格式(在 PowerShell 中运行): 
    openssl pkcs12 -export -out certificate.pfx -inkey privkey.pem -in fullchain.pem
    提示时设置一个 PFX 导出密码
  3. 打开 IIS 管理器 → 选择服务器节点 → 双击「服务器证书」
  4. 右侧点击「导入」→ 选择 certificate.pfx → 输入密码 → 确定
  5. 在站点绑定中,添加类型 https,IP「全部未分配」,端口 443,SSL 证书选刚导入的

Caddy 导入证书

  1. 上传证书文件到服务器:
    /etc/ssl/fullchain.pem
    /etc/ssl/privkey.pem
  2. 编辑 Caddyfile: 
    your-domain.com {
    tls /etc/ssl/fullchain.pem /etc/ssl/privkey.pem
    root * /var/www/html
    file_server
}
  3. 重载 Caddy:sudo systemctl reload caddy

💡 Caddy 内置自动 HTTPS(ACME),直接写 your-domain.com { ... } 即可自动申请 Let's Encrypt。

Tomcat / Java 导入证书

  1. 转换为 Java Keystore: 
    # 先转 PKCS12
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem \
    -out keystore.p12 -name tomcat

# 再转 JKS
keytool -importkeystore -srckeystore keystore.p12 \
    -srcstoretype PKCS12 -destkeystore keystore.jks \
    -deststoretype JKS
  2. 编辑 conf/server.xml
    <Connector port="8443" protocol="HTTP/1.1"
    SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/path/to/keystore.jks"
    keystorePass="yourpassword"
    clientAuth="false" sslProtocol="TLS"/>
  3. 重启 Tomcat:sudo systemctl restart tomcat

宝塔面板 导入证书

  1. 登录宝塔面板后台
  2. 进入「网站」→ 选择目标站点 → 点击「设置」
  3. 切换到「SSL」标签 → 点击「其他证书」
  4. 用文本编辑器打开邮件附件:
    • 复制 privkey.pem 的全部内容 → 粘贴到「密钥(KEY)」输入框
    • 复制 fullchain.pem 的全部内容 → 粘贴到「证书(PEM格式)」输入框
  5. 点击「保存」→ 开启「强制HTTPS」

💡 宝塔面板也内置「Let's Encrypt」一键申请,但需手动续期。本服务提供全自动续期方案。

← 返回申请页面