一、SSL证书生成工具
主流的SSL证书生成工具包含以下三种解决方案:
- OpenSSL
开源工具集,支持生成私钥、CSR文件和自签名证书 - CFSSL
云原生场景常用的TLS工具包,支持JSON配置生成证书 - Let’s Encrypt
自动化的免费证书颁发服务,配合Certbot工具实现快速部署
二、证书生成核心步骤
基于OpenSSL的标准生成流程包含五个关键环节:
- 生成4096位RSA私钥:
openssl genrsa -out server.key 4096 - 创建证书签名请求(CSR):需填写国家、组织、域名等信息
- 提交CSR至CA机构进行域名所有权验证(DNS/文件/邮件验证)
- 下载包含公钥的签名证书文件(.crt/.pem)
- 组合证书链文件(包含中间证书)
三、服务器配置与验证
在Nginx服务器中需添加如下配置示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/fullchain.pem;
ssl_certificate_key /path/server.key;
}完成配置后需执行nginx -t测试语法,并重启服务生效。建议使用SSL Labs等在线工具验证证书链完整性。
通过工具自动化生成流程可显著提升部署效率,对于生产环境建议采用Let’s Encrypt实现90天周期的自动续签。自签名证书仅适用于测试环境,商业证书需选择可信CA机构签发。
