我在使用的衡天主机是香港虚拟主机，赠送独立IP，好处是可以启用ssl证书，实现站点的https加密访问。你在网上找到的教程很多是vps签发ssl证书的教程，比较复杂，需要一定的技术基础，不如让主机商帮你搞定服务器配置，你直接上传证书密钥就好啦！

SSL简介

SSL证书有很多种类型，新手觉得头晕看不懂，其实很简单，大致是DV（域名验证）、OV（机构验证）、EV（extended validation），证书也有单域名验证型、泛域名验证型，最多的是所谓的wild card（野卡），ssl证书使用年费很高。

你只想实现网站加密访问，就是最简单的domain validation域名验证，证书签发机构证明的是，域名是正确无误的；浏览器地址栏只是https一个绿色小锁；如果你肯花钱，提交合法证明材料，证明你是某某机构、某某公司，证书机构审核无误，给你发高级的OV、EV证书，证明你是XX有限公司的官方网站；

如果你想给www.since1989.org开启https代理，那就是单域名证书，只验证一个域名有效性；可是你手头还有love.since1989.org这个子域名，也想启用https访问，一个证书签发多个域名，这就是泛域名证书。有的证书签发机构一个证书最多可签发100个子域名，足够你用了吧？

所以申请证书前准备工作是：你有独立IP和域名

如果想省钱，推荐免费的startssl.com，个人申请Class 1级别的DV（域名验证）证书，完全免费！而且还可免费申请泛域名证书，允许一张证书签发最多5个子域名，够慷慨吧？全自动发货，立即生效。

需要提醒的是，如果你申请多个子域名，子域名不能包括store这类商业词汇，因为Startssl.com提供的个人免费证书仅限于非商业用途。

申请startssl证书过程很简单，很多人觉得抽象，是不熟悉申请的流程导致的。

申请流程

1 网站startssl.com登录方式是证书授权，点击注册，输入你的国家和常用邮箱，Startssl.com会向邮箱发送验证码，填入验证码激活后，你的这个邮箱就相当于验证通过了，Startssl会自动安装包含密钥的一个证书到你的浏览器中。以后登录startssl，点击authenticate就会自动检测这个证书验证你的身份，没有传统网站意义上的“用户名+密码”或“邮箱+密码”的方式。

2 startssl.com登录后共有三个选项：

tool box工具包

certificates wizard证书向导

validations wizard验证向导

假设你要申请apple.com这个域名及其子域名的安全证书，在startssl.com操作流程如下：

第一步，点击validations wizard，输入域名apple.com，网站自动查询域名拥有者whois联系方式，找到管理员邮箱，发送验证码，以证明你是域名所有人。

第二步，下载startcomtool.exe，点击CSR，填写你的域名、国家代号、生成private key私钥、设置私钥保护密码，点击生成，会自动保存CSR文件，自动生成private key文件，它是你的私钥，很重要。同时右侧会出现一长串代码，复制它。

什么是CSR呢？就是“证书申请请求”，提交给startssl，他们是权威证书签发机构，他们审核你的请求。

第三步，点击certificates wizard，选择SSL/TLS证书，填写你要签发证书的域名，如果你的域名apple.com下有几个域名，最好都填上，一次性申请，省得后面麻烦。

在下方粘贴你在第二步复制的CSR代码。

第四步，点击提交，就会自动审核通过，提示你下载一个证书压缩包。

我们以衡天主机为例，压缩包里是常用服务器环境的压缩包，我们需要解压的是nginx主机用的压缩包，里面有证书文件，很重要。

第五步，点击tool box，点击decrypt private key，电脑使用notepad++软件打开第二步生成的private key文件，全部复制到右侧，下方输入你在第二步设置的私钥保护密码，点击decrypt，你的私钥就被解密还原出来了。

第六步，在衡天主机后台面板里，找到SSL管理选项

选择“粘贴事前准备好的证书和密匙”

这里要填什么呢？还记得第四步，startssl给你的证书吗？用notepad++打开证书文件，把第五步解密后的私钥复制到这个证书文件最上面，然后全部复制文件内容，粘贴进去保存。

第七步，主机面板SSL选项下方有“点击这里来粘贴一个CA根证书”按钮，它又是什么呢？它是指你的证书签发机构的CA根证书，告诉浏览器是哪家签发的。我们仍以startssl.com举例，你需要在这里找到startssl提供的CA证书文件。

下载三个文件 ca.crt、ca-g2.crt、StartCom Class 1 DV Server CA

使用notepad++打开三个文件后，全部复制到一起，粘贴到上述“点击这里来粘贴一个CA根证书”里面去。

提醒：凡事动脑子想为什么这么做？因为上面三个证书，包括了CA证书、你申请的是Class 1级别证书，都复制一起，保证最大程度被各个浏览器设备识别认可。

几分钟后，你的网站就可以使用https访问了。

第八步，如果你想强制所有访问都走https加密，你需要在主机文件根目录添加.htaccess文件，里面填写代码：

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://apple.com/$1 [R=301,L]

这串代码意思是，强制所有http访问都走https，记得把apple.com修改成你自己的域名。

SEO权重

https优点是加密保护，防止通信篡改，缺点是延长了通信时间，网页打开速度稍慢了一点。

必须指出，垃圾百度在收录https站点内容方面仍有缺陷，比Google差远了！Google官方鼓励https站点，给予高权重，但Baidu搜索技术相当糟糕。如果你追求SEO效果，网站主要人群是中国大陆，不建议开启https访问，得不偿失。