一、生成服务器私钥
使用OpenSSL工具生成RSA私钥文件,建议密钥长度不低于2048位以确保安全性。生成命令示例:openssl genrsa -out server.key 2048,该步骤需妥善保存私钥文件防止泄露。
二、创建证书签名请求(CSR)
通过私钥生成CSR文件,需填写以下关键信息:
- 国家代码(如CN)
- 组织名称(需与营业执照一致)
- 通用名称(必须与域名完全匹配)
生成命令示例:openssl req -new -key server.key -out server.csr,该文件将提交至CA机构验证。
三、验证与证书签发
CA机构通过以下方式验证申请者身份:
- DV证书:通过DNS解析或上传验证文件确认域名所有权
- OV/EV证书:人工审核企业资质文件(1-3个工作日)
验证通过后CA将签发包含证书链的.crt/.pem文件。
四、下载SSL证书文件
签发完成后可通过两种方式获取证书:
- 通过CA机构发送的邮件附件下载
- 登录CA官网控制台直接下载证书包
下载文件通常包含服务器证书、中间证书和根证书。
五、安装与配置证书
将私钥文件与证书文件上传至服务器指定目录,例如Nginx配置示例:
server {
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
}配置完成后需重启服务使证书生效。
完整的SSL证书生成流程涵盖密钥生成、信息验证、文件下载和服务器配置等关键环节,需严格遵循CA机构的技术规范。自签名证书虽可用于测试环境,但商业应用建议选择可信CA机构签发证书以保障浏览器兼容性。
