1. 生成CSR文件
通过OpenSSL工具生成私钥和证书签名请求文件(CSR),这是证书申请的核心步骤:
- 执行命令
openssl genrsa -out private.key 2048生成2048位私钥 - 运行
openssl req -new -key private.key -out certificate.csr生成CSR文件 - 填写国家代码、省份、城市、组织名称和域名等必要信息
2. 提交CA审核
将CSR文件提交给证书颁发机构(CA),需完成以下验证:
- DV证书:通过DNS解析或上传验证文件确认域名所有权
- OV/EV证书:人工审核企业营业执照等资质文件
- 等待CA签发(免费证书通常即时签发,付费证书需1-3个工作日)
3. 下载证书文件
审核通过后,从CA控制台或邮件获取证书文件:
- 主流格式包括
.crt(证书主体)和.key(私钥) - 部分CA提供
.pem或.pfx格式的证书包 - 注意区分证书链文件(如
_bundle.crt)与域名证书
4. 配置服务器
以Nginx为例的配置示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/conf/example.com_bundle.crt;
ssl_certificate_key /etc/nginx/conf/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256;
}需确保证书路径正确并重启服务 systemctl reload nginx
5. 验证与测试
完成部署后需进行安全检查:
- 使用
openssl s_client -connect domain:443验证证书链 - 通过SSL Labs测试工具检查加密套件强度(评分需≥A级)
- 浏览器访问验证HTTPS锁标志和证书有效期
通过标准化的CSR生成、CA审核、证书部署流程,配合自动化工具和配置模板,可在30分钟内完成SSL证书的快速配置。建议定期检查证书有效期,使用自动化续期工具避免服务中断。
