一、生成私钥与CSR
使用OpenSSL生成4096位的RSA私钥,执行命令:
openssl genrsa -out server.key 4096通过交互式命令创建证书签名请求文件(CSR),需填写以下信息:
- 国家代码(如CN)
- 省份与城市名称
- 组织全称与部门
- 完整的域名(含子域名)
二、提交CA验证与获取证书
选择权威CA机构后提交CSR文件,需完成三种验证方式之一:
- 邮箱验证:发送确认邮件至域名注册邮箱
- DNS验证:添加指定的TXT记录
- 文件验证:上传指定验证文件至服务器
通过验证后,CA将颁发包含公钥的证书文件(.crt或.pem格式)
三、服务器配置优化
在Nginx配置文件中添加SSL加速参数:
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_buffer_size 4k;核心注意事项
- 选择EV证书需提供企业营业执照扫描件
- 通配符证书需在CSR中指定*.example.com格式
- 密钥文件必须设置600权限
- 证书有效期超过398天将被主流浏览器拒绝
通过标准化流程生成SSL证书并正确配置加速参数,可使网站TLS握手时间减少40%以上。定期更新密钥与监控证书有效期是维持HTTPS服务稳定的关键。
