一、为什么必须上 HTTPS？

HTTPS（SSL/TLS）能加密传输、防止劫持篡改，同时浏览器对 HTTP 会提示“不安全”，对转化与信任影响很大。对搜索引擎来说，HTTPS 也是基础项之一：同等内容下，HTTPS 更容易获得更好的展示与点击。

0）准备清单（先确认这 3 件事）

1. 你要启用 HTTPS 的域名：例如 www.xxx.com 与 xxx.com（是否两者都要）。

2. 虚拟主机是否支持 SSL：一般控制面板都有「SSL/HTTPS/证书」入口。

3. DNS 已正确解析：域名解析到你的虚拟主机（A 记录或 CNAME）。

小提示：建议先统一域名（选 www 或不带 www 其中一个作为主域），后续跳转更干净。

1）申请 SSL 证书（推荐 2 种方式）

方式A：免费证书（DV）

适合绝大多数网站：企业站、外贸站、博客、展示站、电商独立站都够用。
常见签发方式：DNS 验证 或 文件验证。

方式B：付费证书（OV/EV）

适合品牌与金融类等对展示标识要求更高的场景。
但就“开启 HTTPS”这个目标，DV 已经足够。

2）安装证书（虚拟主机最常见 3 种情况）

下面按你可能遇到的面板形式写，照你面板对号入座即可。

情况1：面板支持一键 SSL（最省事）

步骤：

1. 面板进入「SSL/证书」

2. 选择域名 → 申请/部署

3. 等待签发成功 → 启用 HTTPS

一键方式一般会自动配置证书链与续期，优先推荐。

情况2：面板要求你上传证书文件（CRT/KEY）

你会拿到：

• 证书文件（CRT/PEM）

• 私钥文件（KEY）

• 证书链（CA Bundle/Chain）（有些平台合并在一起）

步骤：

1. 面板选择站点域名

2. 填入/上传 CRT + KEY + Chain

3. 保存启用

4. 等 1–5 分钟再访问测试

情况3：只能在站点目录放验证文件（文件验证）

步骤：

1. 证书平台给你一个验证文件（通常在 .well-known 目录下）

2. 上传到指定目录

3. 通过验证后再回到面板安装证书

3）绑定域名（最容易漏）

很多人装完证书却仍提示不安全，原因是：

• 证书只绑定了 www.xxx.com，但你访问的是 xxx.com

• 或者只绑定了主域，没绑定子域

建议：

• 证书覆盖你要用的所有访问域名（至少 www 与根域二选一做主域，另一个 301 跳转过去）

4）全站强制跳转到 HTTPS（关键一步）

做到这一步，才能确保：

• 用户访问 http 会自动变 https

• 搜索引擎收录逐步统一到 https 版本，避免重复收录

方案A：面板有“强制HTTPS/301跳转”（优先）

直接开启即可，最不容易出错。

方案B：Apache（.htaccess）跳转示例

把下面内容放到站点根目录 .htaccess（若已有规则，放在最上面或按需合并）：

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

方案C：Nginx 跳转示例（仅 VPS/独立环境常见）

虚拟主机通常不让你改 Nginx 配置；如果你是云服务器环境可用：

server {
  listen 80;
  server_name example.com www.example.com;
  return 301 https://$host$request_uri;
}

5）修复“混合内容”（HTTPS 最常见提示）

现象：浏览器地址栏仍显示“不安全/部分不安全”。
原因：网页里还引用了 http:// 的图片、JS、CSS。

解决方法：

• 把站点里的资源链接改成 https:// 或 //（协议相对地址）

• CMS（如 WordPress）：

  • 后台把“站点地址/WordPress 地址”改成 https

  • 执行一次“数据库替换”（把 http 替换为 https）

• 检查第三方统计、广告、字体库是否支持 https

6）验证是否配置成功（建议你做 4 个检查）

1. 访问 https://你的域名 是否显示锁标

2. 访问 http://你的域名 是否 301 到 https

3. 访问 http://www/非www 是否跳到你设定的主域版本

4. 控制台（F12）是否还有 Mixed Content 报错

7）可选优化：开启 HTTP/2 + 安全头（能开就开）

• HTTP/2：能明显改善加载性能（尤其是资源多的页面）

• 安全头：减少 XSS/点击劫持/内容嗅探风险

虚拟主机是否支持取决于面板能力；能开就开，不能开也不影响 HTTPS 本身。

常见问题（FAQ）

Q1：我装了证书，但浏览器还是提示不安全？

优先检查：

• 域名是否一致（www/非www）

• 是否有混合内容

• 证书链（Chain）是否缺失

• CDN 是否开启了“回源 http”导致异常（用 CDN 的话要配合 SSL 模式）

Q2：证书安装后访问 404 或网站打不开？

可能原因：

• 绑定目录/站点配置不对（虚拟主机多站点时容易错）

• 强制跳转规则冲突（循环跳转）

• CDN/面板缓存未刷新

处理建议：先关闭强制跳转 → 确认 https 能正常打开 → 再开启 301 跳转。

Q3：HTTPS 会不会影响原来的排名？

短期可能有轻微波动，但只要你：

• 用 301 把 http 全部规范到 https

• 保持页面 URL 结构不乱改

• 站内链接逐步改成 https
  通常会趋于稳定，长期更利于信任与数据安全。

【虚拟主机防攻击方法】