如何选择云服务器HTTPS方案

选择云服务器 HTTPS 方案的实用指南
一 明确业务与合规需求

• 业务类型与信任诉求：个人博客/展示页优先DV；企业门户、SaaS、小程序后端建议OV；金融、保险等对信任展示要求高的场景选EV。
• 域名规划：只有一个主域用单域名；多个独立域名用多域名；同一主域下大量子域用通配符（如：*.example.com）。
• 算法与合规：通用场景优先ECC（性能更好、密钥更短），兼容性要求极高保留RSA；涉政务、关基等合规要求可考虑SM2/SM系列国密证书（需配套国密浏览器/网关）。
• 有效期与运维：证书有有效期，需规划自动续期与到期监控，避免业务中断。
• 特殊主体限制：部分“特殊企业”（如军队、政府特殊机构、国家保密单位）可能无法完成OV/EV组织验证，需提前确认可行方案。

二 选择证书类型与域名覆盖范围

• 证书类型对比与适用

• 域名与数量
• 单域名：如 example.com（部分品牌绑定 www 会赠送主域）。
• 多域名（SAN）：一个证书覆盖多个独立域名，部分品牌/类型最多可至250个。
• 通配符：覆盖同一主域下无限同级子域（如 *.example.com），便于子域快速扩容。
• 算法选择
• RSA：兼容性最好，生态最广。
• ECC：同等安全强度下密钥更短、性能更优，优先推荐。
• SM2/SM 系列：满足国密合规，需客户端/网关支持。

三 架构选型与证书部署位置

• 常见部署路径与证书放置点（按复杂度从低到高）
• ECS + EIP：证书直接部署在 Nginx/Apache/IIS；适合个人/测试。
• SLB/ALB + ECS：在负载均衡上终止 HTTPS，后端可 HTTP 转发（性能更好）；适合中小企业。
• WAF + SLB + ECS：在 WAF 终止 HTTPS 并做安全防护，再转发到后端；适合有攻击防护诉求的业务。
• CDN/DCDN + WAF + SLB + ECS：在 CDN 终止 HTTPS 加速，回源建议仍用 HTTPS 到 WAF/SLB，提升端到端安全。
• 回源与“SSL 卸载”
• 可在 CDN/WAF/SLB 做SSL 卸载降低后端 CPU 压力，但仅在“回源链路也加密”的前提下才安全；不建议仅 L2 回源或回源用 HTTP。
• 强制跳转与协议跟随
• 对外统一暴露 HTTPS，在入口（CDN/WAF/SLB/源站）配置 HTTP→HTTPS 301 跳转；各层需统一“协议跟随/回源协议”，避免混合内容。
• 全链路 HTTPS
• 关键业务建议“端到端加密”：客户端→CDN/WAF→SLB→源站均使用 TLS，避免明文或降级风险。

四 配置与运维要点

• 协议与套件
• 启用 TLS 1.2+，禁用 SSL 2.0/3.0 与不安全套件；优先 ECDHE 前向保密套件。
• 性能与体验
• 启用 HTTP/2/HTTP/3（QUIC） 提升并发与首包时间；开启 OCSP Stapling 减少验证延迟。
• 安全加固
• 配置 HSTS（含 includeSubDomains、preload 谨慎使用）、HPKP（按需）、证书透明度（CT）；设置合适的会话复用与会话票据。
• 证书与密钥管理
• 使用自动化续期（如 certbot/ACME），配合到期监控与告警；密钥妥善管控与轮换。
• 验证与测试
• 上线前用工具做配置体检（如 SSL Labs），检查链完整性、协议/套件、OCSP、HSTS、重定向与混合内容。

五 典型场景与推荐方案

• 个人/测试站：
• 证书：DV 单域名 或 Let’s Encrypt 免费证书；算法 ECC/RSA。
• 架构：ECS + EIP，证书在 Nginx/Apache 上；配置 301 跳转与 HSTS。
• 中小企业门户/电商：
• 证书：OV 单域名/通配符；算法 ECC 优先。
• 架构：ALB/WAF + ECS，在 ALB/WAF 终止 HTTPS，回源 HTTPS；全站 301 与 HSTS。
• 高安全行业（银行/保险/金融）：
• 证书：EV 单域名/多域名；算法 ECC；必要时叠加国密合规方案（SM2/SM3/SM4）。
• 架构：CDN + WAF + SLB + ECS 全链路 TLS，严格证书链与 CT 策略。
• 多子域 SaaS/平台：
• 证书：OV/EV 通配符 或 多域名（SAN）；算法 ECC。
• 架构：CDN/WAF 终止 HTTPS 加速，回源 HTTPS 到 SLB/ECS；统一跳转与协议跟随。