一、准备工作
在生成SSL/TLS证书前,需满足以下条件:
- 拥有公网可解析的域名(需完成域名注册与DNS解析配置)
- 服务器需开放80/443端口用于证书验证和HTTPS通信
- 安装必要的工具链:Certbot(推荐)或OpenSSL
二、生成SSL/TLS证书
通过Certbot工具快速生成免费证书:
- 安装Certbot及Nginx插件:
sudo apt install certbot python3-certbot-nginx - 执行证书生成命令:
sudo certbot --nginx -d example.com - 证书文件默认存储在:
/etc/letsencrypt/live/your_domain/
若需自签名证书,可使用OpenSSL生成:
openssl genpkey -algorithm RSA -out private.key
openssl req -new -key private.key -out csr.csr
openssl x509 -req -days 365 -in csr.csr -signkey private.key -out cert.crt三、配置服务器
以Nginx服务器为例,修改配置文件:
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
}四、验证与测试
完成配置后需执行以下验证:
- 访问
https://your_domain确认浏览器显示安全锁标识 - 使用SSL Labs测试工具检查协议版本和加密套件
- 执行
nginx -t验证配置文件语法正确性
五、维护与更新
Let’s Encrypt证书需每90天续期:
sudo certbot renew --dry-run建议通过crontab设置自动续期任务
