第一步:生成私钥文件
使用OpenSSL工具生成RSA私钥,密钥长度建议2048位或更高。执行命令:
- 打开终端并输入:
openssl genrsa -out private.key 2048 - 系统将生成无密码保护的私钥文件(添加
-des3参数可设置密码)
私钥文件需妥善保管,避免泄露或被篡改。
第二步:创建证书签名请求(CSR)
通过私钥生成包含组织信息的CSR文件:
- 执行命令:
openssl req -new -key private.key -out request.csr - 依次填写国家代码、省份、城市、组织名称、部门名称和域名信息
特别注意Common Name必须与网站域名完全一致,否则会触发浏览器警告。
第三步:提交验证与证书安装
将CSR提交至证书颁发机构(CA)并完成验证:
- 选择验证方式:DNS解析验证或文件上传验证
- 通过验证后下载证书文件包,通常包含
.crt证书和.ca-bundle中间证书
在服务器配置中指定证书路径,例如Nginx配置示例:
ssl_certificate /path/server.crt;
ssl_certificate_key /path/private.key;通过生成私钥、创建CSR、CA验证三个核心步骤,可完成SSL证书的申请与部署。使用Let’s Encrypt等免费CA机构时,可通过自动化工具简化流程。定期更新证书是保障网站安全的重要措施。
