2026 Peraturan baru untuk aplikasi sijil SSL percuma Tencent Cloud dan panduan penyebaran satu klik Nginx/Apache

awan 2026-05-29 阅读 8

Mulai pertengahan tahun 2024, institusi CA arus perdana global (seperti TrustAsia, dll.) telah membuat penyesuaian besar terhadap strategi sijil percuma mereka, dan Tencent Cloud juga telah menyelaraskan sepenuhnya peraturan baru ini. Sekiranya anda masih menggunakan tutorial lama, atau berpendapat bahawa sijil percuma dapat dikendalikan selama setahun, anda pasti akan melangkah ke lubang.

Artikel ini tidak membincangkannya, secara langsung akan membawa anda memahami peraturan terkini pada tahun 2026, dan mengajar anda cara meletakkan sijil di pelayan Nginx dan Apache.

Perubahan Teras: Panduan Mengelakkan Lubang Baru untuk Sijil SSL Percuma pada tahun 2026

Sebelum melakukannya, anda mesti terlebih dahulu memahami peraturan semasa, jika tidak, laman web anda mungkin "lumpuh" kerana sijil tamat pada bila-bila masa.

Tempoh sah telah dipendekkan menjadi 3 bulan (90 hari): dividen "satu perubahan setahun" pada masa lalu telah berakhir sepenuhnya. Tidak kira sama ada permohonan baru atau pembaharuan, tempoh sah satu sijil percuma hanya 90 hari. Ini bermaksud bahawa anda perlu mengendalikan sekurang-kurangnya 4 kemas kini sijil dalam setahun.

Jumlah akaun adalah 50: Tidak kira akaun peribadi atau korporat, had atas sijil percuma disesuaikan dengan 50.

Batalkan sekatan pengikatan nama domain: Berita baiknya adalah bahawa peraturan baru membatalkan sekatan "maksimum 20 aplikasi untuk nama domain utama yang sama". Sekarang anda boleh memohon sijil percuma untuk mana-mana subdomain dan tidak lagi terikat dengan kuota nama domain utama.

Cadangan kelangsungan hidup: Oleh kerana tempoh sah 90 hari yang sangat pendek, sangat disarankan untuk memeriksa perkhidmatan "pembaharuan automatik" semasa memohon (jika disokong oleh konsol vendor awan), atau mengkonfigurasi skrip kemas kini automatik (seperti Certbot) di sisi pelayan, jika tidak, penyelenggaraan manual akan Ia gila.

Peringkat pertama: Permohonan sijil SSL percuma Tencent Cloud

Log masuk ke Tencent Cloud Console, masukkan "Sijil SSL" di bar carian atas dan masukkan.

Klik "Memohon Sijil Percuma" (biasanya di pintu masuk jalan pintas atau di atas senarai sijil).

Isi borang permohonan:

Pengikatan sijil dengan nama domain

: Masukkan nama domain khusus anda, seperti [www.yourdomain.com] (https://www.yourdomain.com) atau yourdomain.com nama domain root (nota: sijil percuma adalah sijil nama domain tunggal dan tidak menyokong nama domain pan seperti *.yourdomain.com).

Kaedah pengesahan nama domain: "Pengesahan DNS automatik" lebih disukai. Sekiranya nama domain anda dihoskan di bawah akaun Tencent Cloud semasa, sistem akan secara automatik menambahkan rekod resolusi untuk anda, dan ia akan dikeluarkan secara automatik dalam beberapa minit tanpa campur tangan manual.

Setelah menghantar permohonan, tunggu dengan sabar selama 5 ~ 10 minit. Muat semula senarai, lihat status menjadi "Dikeluarkan", klik "Muat turun" di sebelah kanan.

Di halaman muat turun pop timbul, pilih mengikut persekitaran pelayan anda. Kami memuat turun pakej Nginx dan Apache yang dimampatkan di sini, unzip ke sandaran tempatan.

Tahap kedua: Persekitaran Nginx menggunakan HTTPS dengan satu klik

Buka zip pakej pemampatan sijil Nginx yang dimuat turun, anda akan mendapat empat fail, kami

Hanya perlu dua daripada mereka: yourdomain.com _ bundle.crt

(Dokumen sijil)

Yourdomain.com. key (fail kunci peribadi)

1. Muat naik sijil

Sambungkan ke pelayan melalui alat SSH (seperti Xshell, Termius), dan buat folder baru untuk menyimpan sijil di direktori konfigurasi Nginx:

Bash

Mkdir-p /etc/nginx/ssl

Muat naik dua fail di atas ke direktori ini melalui SFTP.

2. Ubah suai fail konfigurasi Nginx

Cari profil laman web anda (biasanya di

/etc/nginx/nginx.conf

Atau

/etc/nginx/conf.d/

Di bawah

. Conf

Fail).

Menjadikan

pelayan

Blok diubah suai atau ditambah seperti berikut:

3. Uji dan mulakan semula

Sebelum konfigurasi beban berat,

Mesti

Periksa sama ada tatabahasa salah:

Bash

nginx -t

Jika dipaparkan

sintaks adalah ok

Dan

ujian berjaya

, Biarkan konfigurasi berlaku secara langsung:

Bash

nginx -s semula

Tahap ketiga: Persekitaran Apache menggunakan HTTPS dengan satu klik

Buka zip pakej pemampatan sijil Apache, anda akan mendapat tiga fail:

Yourdomain.com _ bundle.crt (dokumen sijil)

Yourdomain.com. key (fail kunci peribadi)

Yourdomain.com _ chain.crt (Sijil rantai fail)

Begitu juga, di direktori konfigurasi Apache (seperti

/Etc/httpd/

Atau

/Etc/apache2/

) Baru

Ssl

Folder dan muat naik ketiga-tiga fail ini.

1. Hidupkan Modul SSL

Jika sistem Ubuntu/Debian, lakukan:

Bash

Sudo a2enmod sssl

Jika ia adalah sistem CentOS, anda perlu memasang modul:

Bash

Sudo yum install mod_ssl

2. Ubah suai profil Apache

Cari profil SSL Apache (biasanya

/Etc/httpd/conf.d/ssl.conf

Atau

/Etc/apache2/sites-available/default-ssl.conf

), Dalam

Ubah atau tambahkan jalan berikut dalam blok:

DocumentRoot "/var/www/html" # direktori root laman web anda

ServerNam e yourdomain.com:443 # untuk domain anda

# Hidupkan SSL

SSLEngine on

# Jalur tiga elemen sijil konfigurasi

SSLCertificateFile /etc/httpd/ss l/yourdomain.com _ bundle.crt

SSLCertificateKeyFile /etc/httpd/ss l/yourdomain.com.key

SSLCertificate ChainFile /etc/httpd/ss l/yourdomain.com _ chain.crt

# Sekatan protokol keselamatan

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

SSLCipherSuite TINGGI:! ANULL:! MD5:! 3DES

</VirtualHost>

3. Mulakan semula perkhidmatan Apache

Setelah menyimpan dan keluar, mulakan semula perkhidmatan untuk menjadikan konfigurasi berkesan:

CentOS: systemctl restart httpd

Ubuntu: systemctl restart apache2

Tahap keempat: pengesahan dalam talian dan pemeriksaan lubang

Setelah konfigurasi selesai, buka penyemak imbas dan masukkan [https:

// Yourdomain.com]

(http

S: // yourdomain.com)

Periksa kunci hijau kecil: Sekiranya ikon "kunci keselamatan" muncul di sebelah kiri bar alamat, ini bermakna HTTPS berjaya digunakan.

Periksa maklumat sijil: Klik pada kunci untuk melihat butiran sijil, dan anda akan mendapati bahawa tempoh sahnya hanya 90 hari penuh.

Periksa kumpulan keselamatan/firewall: Sekiranya halaman tidak dapat dibuka, pergi ke kumpulan keselamatan pelayan Tencent Cloud Console untuk memeriksa terlebih dahulu untuk melihat apakah port 443 dilepaskan. Sekiranya awan dilepaskan dan masih tidak dapat dibuka, periksa sama ada firewall tempatan pelayan (seperti iptables atau ufw) menyekat port 443.

Oleh kerana sijil akan menjadi tidak sah secara automatik setelah 90 hari tamat, disarankan agar anda menetapkan jam penggera 80 hari di kalendar telefon bimbit anda

, Atau secara langsung mempertimbangkan untuk menggunakan skrip penyebaran automatik yang matang di pasaran (seperti pembaharuan satu klik panel pagoda, atau hosting melalui skrip Acme.sh) untuk membebaskan tangan anda sepenuhnya.