一、选择证书颁发机构
申请SSL证书需选择DigiCert、Let’s Encrypt、JoySSL等受信任的证书颁发机构(CA)。需根据域名类型(单域名/泛域名)和企业需求选择DV、OV或EV类型证书。
二、生成CSR文件
在服务器生成包含公钥的证书签名请求(CSR),主要步骤包括:
- 使用OpenSSL工具生成密钥对
- 填写国家、组织、通用名称等身份信息
- 生成包含公钥的CSR文件
三、提交申请与域名验证
通过CA官网提交CSR文件后,需完成域名所有权验证:
- 自动DNS验证:授权CA修改域名解析,自动添加TXT记录
- 手动DNS验证:在域名管理后台添加指定CNAME或TXT记录
阿里云添加TXT记录示例 - 记录类型:TXT
- 主机记录:_acme-challenge
- 记录值:CA提供的验证字符串
四、CA审核与证书签发
验证DNS解析生效后,CA将在2-3个工作日内完成审核。DV证书自动签发,OV/EV证书需补充企业资质验证。
五、安装配置证书
通过CA控制台下载包含以下文件的证书包:
- 域名证书文件(.crt)
- 中间证书链文件
- 私钥文件(.key)
根据服务器类型(Nginx/Apache等)配置证书路径,完成HTTPS服务部署。
DNS验证作为SSL证书申请的核心环节,通过添加指定解析记录证明域名控制权。建议选择支持自动DNS验证的CA机构,可显著提升证书申请效率。定期检查证书有效期,及时续费更新避免服务中断。
