一、生成私钥文件
生成SSL证书的第一步是创建RSA私钥,通常使用OpenSSL工具执行此操作。在命令行中输入openssl genrsa -des3 -out server.key 2048可生成2048位强度的加密私钥文件,此过程需设置至少4位密码保护私钥。
部分工具如CFSSL支持自动化生成私钥,而XCA等图形化工具则提供可视化操作界面。密钥长度建议采用2048位或更高以保证安全性。
二、创建证书签名请求(CSR)
使用私钥生成证书签名请求文件时,需包含以下关键信息:
- 域名(Common Name必须与目标域名完全一致)
- 组织名称及地址
- 联系人邮箱
通过命令openssl req -new -key server.key -out server.csr可生成CSR文件,其中域名验证是后续CA审核的核心要素。
三、提交验证与证书签发
将CSR提交至证书颁发机构(CA)后,需完成以下验证流程:
- 选择验证方式(DNS记录、邮箱验证或文件验证)
- 等待CA审核域名所有权
- 获取签发的证书文件(.crt/.pem)
自签名证书可使用openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt生成,但会引发浏览器安全警告。
四、安装与配置证书
最终部署需将证书文件与私钥上传至服务器,典型配置步骤包括:
- 将.crt和.key文件放入指定目录(如/etc/ssl/)
- 修改Web服务器配置(Apache/Nginx)加载证书路径
- 重启服务并测试HTTPS连接状态
部分云平台提供自动化部署工具,可简化安装过程。
SSL证书生成的核心流程涵盖密钥生成、请求创建、CA验证和服务部署四个关键阶段。使用OpenSSL等工具时需特别注意域名准确性和密钥安全性,商业CA签发可提升证书可信度,而自签名方案适用于测试环境。
