一、SSL证书的准备工作
申请SSL证书前需完成以下准备工作:
- 选择证书类型:免费证书(如Let’s Encrypt)适用于个人或中小型网站,付费证书(如Digicert)提供更高级别信任认证
- 准备域名解析:确保主域名(如example.com)和二级域名(如www.example.com)均完成DNS解析
- 安装OpenSSL工具:用于生成密钥文件和证书请求文件
二、生成证书请求文件(CSR)
通过OpenSSL生成CSR文件的步骤如下:
- 生成4096位RSA私钥:
openssl genrsa -out private.key 4096 - 创建CSR文件:
openssl req -new -key private.key -out certificate.csr,需填写国家代码、省份、组织名称等信息 - 提交CSR至CA机构:上传certificate.csr文件并完成域名验证(DNS TXT记录或HTTP文件验证)
三、安装与配置SSL证书
获取证书文件后,按服务器类型进行配置:
Apache服务器配置示例
SSLEngine on
SSLCertificateFile /path/to/certificate.crt
SSLCertificateKeyFile /path/to/private.key
SSLCertificateChainFile /path/to/intermediate.crt需将证书文件存放至指定目录,并重启服务生效
Nginx服务器配置示例
ssl_certificate /etc/ssl/certs/yourdomain.crt;
ssl_certificate_key /etc/ssl/private/yourdomain.key;建议将中间证书合并到主证书文件,确保信任链完整
四、HTTPS服务验证与测试
完成配置后需进行以下验证:
- 使用SSL Labs在线测试工具检查证书链完整性
- 通过浏览器访问确认HTTPS加密标识(绿色锁标)
- 配置HTTP到HTTPS的301重定向,确保全站加密
通过生成CSR、CA验证、证书安装三阶段操作,可实现网站HTTPS加密。建议定期更新证书(免费证书有效期90天),并开启HSTS增强安全性。多子域名场景推荐使用通配符证书简化管理流程
