1. 生成CA根证书
可信服务器证书的信任链始于CA根证书的创建,需执行以下核心步骤:
- 生成CA私钥:使用
openssl genrsa -out ca.key 4096命令创建RSA加密的私钥文件。 - 生成自签名根证书:通过
openssl req -x509 -new -key ca.key -out ca.crt -days 3650命令,设置机构名称(/O字段)与有效期等参数。 - 配置扩展属性:在证书中定义
basicConstraints=CA:TRUE以声明其CA身份。
2. 创建服务器证书请求
服务端证书的生成需先提交证书签名请求(CSR):
- 生成服务器私钥:执行
openssl genpkey -algorithm RSA -out server.key生成2048位密钥。 - 构建CSR文件:使用
openssl req -new -key server.key -out server.csr命令,填写域名、组织信息等元数据。 - 验证CSR内容:通过
openssl req -text -in server.csr -noout确认信息完整性。
3. 签发服务器证书
使用CA根证书对CSR进行签名授权:
- 签发证书:运行
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt生成最终证书。 - 添加扩展参数:在证书中设置
subjectAltName字段以支持多域名和IP地址。 - 验证证书链:通过
openssl verify -CAfile ca.crt server.crt检查信任链有效性。
4. 配置SSL/TLS服务
将证书部署到服务器环境:
SSLEngine on SSLCertificateFile /path/server.crt SSLCertificateKeyFile /path/server.key SSLCACertificateFile /path/ca.crt
需根据Apache、Nginx等不同服务器类型调整配置参数,并重启服务使证书生效。
可信服务器证书的生成需严格遵循CA信任链构建原则,从根证书的生成到终端证书的签发均需保证密钥安全性和信息一致性。定期更新证书有效期、监控私钥泄露风险是维持服务可信度的关键措施。
