1.打开在线转换工具

2.复制证书、证书链、私钥（后缀.key）文件的内容到对应框内。

第⼀步：转换证书格式(.pfx)

第⼆步：⾸先上传PFX格式证书到服务器桌⾯，打开IIS管理器，选择【服务器证书】

第三步：右键导⼊PFX证书， 输⼊证书密码。

第四步：把证书绑定到网站。 选择网站，右键 ，点击“编辑绑定”。

第五步：点击”添加”，选择 “HTTPS”，选择刚刚导⼊的证书名称，点击确定。

至此，SSL已配置完毕，如果通过https访问不了⽹站，需要确认防⽕墙是否拦截了443端口，如果没有开放请开放443端口。

如果IIS7下想绑定多个⼦域名，就需要⼿动配置了，因为IIS7下默认⽀持单个443端口。

配置方法如下：网上的资料⼤部分都是建议修改IIS7配置⽂件直接指定主机名，内容如下：

记事本打开C:\Windows\system32\inetsrv\config\applicationHost.config
通过ctrl+F 查找 定位到如下位置：

找到https的配置项⽬⾏(带有443端⼝的那⾏)，修改为：

注意这里的www.sslcity.com要换成你自己的域名，之后保存即可。

此处列举了多个按需添加即可单域名证书只可添加⼀条，如果购买了通配符证书可以把⽹站下属所有子域名都加上即可。

注意：如果使用了CDN， 需在CDN上配置SSL证书。

1.合成Nginx所需的证书文件:

新建一个记事本文件，复制证书(.crt)内容到记事本的第一段，复制证书链(.ca)内容到第二段；（如下图）

然后保存，将记事本重命名为：你的域名_chain.com.crt（例如：sslsky.com_chain.crt）；

如需要pem格式证书，可直接修改后缀为：你的域名_chain.com.pem

准备好以下文件：
sslsky.com_chain.crt (包含证书链的证书文件)
sslsky.com.key (私钥文件）

2.环境检测，检测命令如下（测试nginx是否支持SSL）

nginx -V
如果有显示 –with-http_ssl_module 表示已编译openssl，支持安装ssl

如果没有安装请下载nginx源码重新编译

./configure --with-http_stub_status_module --with-http_ssl_module
make && make install

3.配置Nginx

server {
listen 80;
listen 443 ssl;
server_name www.sslsky.com;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_certificate /etc/ssl/sslsky.com.crt;
ssl_certificate_key /etc/ssl/sslsky.com.key;
ssl_prefer_server_ciphers on;

自动跳转到HTTPS (可选)

if ($server_port = 80) {
rewrite ^(.*)$ https://$host$1 permanent;
}
location / {
root /home/sslsky/;
index index.php;
}
}
以上配置仅供参考，其他参数请根据生产环境需要添加。

4.安装后重启nginx使其生效

centos6
service nginx restart
centos7
systemctl restart nginx

问题排查：

如果使用CDN（加速器），需要在CDN上面安装证书，国内免费加速的都不支持https（已知阿里云cdn支持）

检查443端口是否启动 使用下面命令 netstat -apnt | grep 443 (如果没有启动检查配置文件或者端口是否冲突）

443端口如果已经启动,但不能访问，请检查防火墙（或者安全狗） ，允许443端口.

linux iptables使用下面命令:

iptables -A INPUT -p tcp -m tcp --dport https -j ACCEPT

第一步：转换证书格式(.jks)

第二步： 进入Tomcat安装目录, d:/apache-tomcat-8.0.18, 把下载的jks文件放在tomcat安装目录即可。

d:/apache-tomcat-8.0.18/sslsky.com.jks
第三步： 打开tomcat配置文件 conf/server.xml

tomcat默认一般是8080端口或者 80端口，先找到这一段。

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
在这段下面插入下面配置：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
clientAuth="false" sslProtocol="TLS" keystoreFile="sslsky.com.jks" keystorePass="123456" />

注意事项：

防火墙要允许443端口

使用CDN，需要让CDN服务商安装SSL

Tomcat 6.0上面配置如果无法启动，把protocol修改为 protocol=”HTTP/1.1″

windows平台运行tomcat ， bin目录下必须有tcnative-1.dll

org.apache.coyote.http11.Http11Protocol - blocking Java connector
org.apache.coyote.http11.Http11NioProtocol - non blocking Java connector
org.apache.coyote.http11.Http11AprProtocol - the APR/native connector.
tomcat 修改DHE大小
-Djdk.tls.ephemeralDHKeySize=2048

优化CDN的SSL证书性能需要从协议配置、证书管理、网络传输等多个维度进行综合调整。以下是结合CDN特性和SSL/TLS协议的高效优化方案：

一、协议层优化
启用TLS 1.3并禁用旧版本

优势：TLS 1.3将握手流程从2次往返（RTT）压缩至1次，支持0-RTT（需权衡重放攻击风险），且默认启用前向保密（Forward Secrecy）。

配置示例（Nginx）：

      ssl_protocols TLSv1.3;
 ssl_prefer_server_ciphers on;
 

会话复用（Session Resumption）

Session ID/Ticket：通过缓存会话参数或加密票据，避免重复握手。

配置示例：

      ssl_session_cache shared:SSL:10m;  # 缓存10MB会话数据
 ssl_session_timeout 1h;            # 会话有效期1小时
 ssl_session_tickets on;            # 启用会话票据
 

二、证书与加密套件优化
证书链精简与格式优化

缩短证书链：仅保留服务器证书和必要中间证书，减少验证步骤（默认需包含根证书，但客户端已内置）。

选择ECDSA证书：相比RSA，ECDSA（如x25519）密钥更小，计算更快，且支持更高效的加密算法。
加密套件优先级调整

推荐组合：优先使用ECDHE密钥交换（支持前向保密）和AES-GCM对称加密（硬件加速友好）。

配置示例：

      ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256';
 ssl_ecdh_curve X25519;  # 高效椭圆曲线算法
 

启用OCSP Stapling

原理：CDN节点缓存证书吊销状态（OCSP响应），避免客户端独立查询，减少握手延迟。

配置示例：

      ssl_stapling on;
 ssl_stapling_verify on;
 resolver 8.8.8.8 valid=300s;  # 指定DNS解析器
 

三、CDN网络层优化
边缘节点缓存与预取

缓存静态资源：将SSL证书及关联资源（如根证书）预加载到CDN边缘节点，减少回源请求。

HTTP/2多路复用：通过单一连接并行传输多个资源，降低建立多个TLS连接的开销。
地理负载均衡与就近访问

智能路由：CDN根据用户地理位置选择最优节点，缩短网络路径，降低握手延迟。

TCP Fast Open（TFO）：在TCP握手阶段发送数据，减少1次RTT（需内核支持）。

四、硬件与服务器配置
启用硬件加速

AES-NI指令集：利用CPU硬件加速对称加密（如AES-GCM），提升加解密效率。

SSL加速卡：专用硬件处理RSA/ECC密钥交换，释放CPU资源。
调整内核参数

TCP参数优化：增大TCP窗口大小、调整TIME_WAIT超时，提升并发处理能力。

文件描述符限制：确保服务器能处理大量并发TLS连接。

五、监控与持续优化
性能监控工具

SSL Labs测试：定期检测TLS配置、握手时间及证书有效性。

实时日志分析：通过CDN服务商提供的访问日志，识别高延迟节点或异常握手行为。
自动化证书管理

Let's Encrypt自动续期：结合Certbot实现证书自动更新，避免过期导致服务中断。

HSTS强制HTTPS：通过HTTP头部强制客户端使用HTTPS，减少重定向开销。

六、典型配置示例（Nginx + CDN）

server {

listen 443 ssl;
server_name example.com;

# 证书配置
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

# TLS 1.3与会话优化
ssl_protocols TLSv1.3;
ssl_session_cache shared:SSL:20m;
ssl_session_tickets on;

# 加密套件
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384';
ssl_ecdh_curve X25519;

# OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;

# 反向代理到源站
location / {
    proxy_pass http://origin_server;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;

}

总结

通过协议升级、证书精简、CDN边缘优化及硬件加速的组合策略，可显著降低SSL握手延迟（平均减少30%-70%），同时提升安全性和用户体验。需定期测试配置并监控性能指标，确保优化策略的持续有效性。