中国境内快速生成SSL证书全流程指南
一、选择可信服务商
国内主流的SSL证书服务商包括JoySSL、DigiCert亚洲版等,需根据网站类型选择证书等级:
- DV证书:适合个人博客,10分钟快速签发
- OV证书:企业官网首选,需验证组织资质
- 国密证书:政府/金融领域推荐,符合等保要求
二、生成CSR与密钥
通过OpenSSL工具生成密钥和证书签名请求(CSR):
- 运行命令生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建包含域名、组织信息的CSR文件
- 去除私钥密码避免重启验证:
openssl rsa -in server.key.org -out server.key
三、完成域名验证
提交CSR后需通过以下方式完成验证:
- DNS解析验证:添加指定TXT记录
- 文件验证:上传验证文件到网站根目录
- 企业资质验证:OV证书需提交营业执照等文件
四、证书安装部署
获取证书文件后,常见服务器配置方法:
server {
listen 443 ssl;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/server.key;
}
需注意证书链完整性,避免浏览器提示不安全
五、维护与更新
建议采取以下维护措施:
- 设置证书到期前30天自动提醒
- 使用西部数码等工具实现自动续期
- 定期检查加密协议版本(TLS 1.3最佳)
