一、生成SSL证书
SSL证书可通过自签名工具或证书颁发机构(CA)申请。以下是两种常用方法:
- 自签名证书(测试环境):使用OpenSSL生成密钥和证书文件:
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
- CA颁发证书(生产环境):
- 生成CSR文件并提交至CA机构(如Let’s Encrypt、阿里云)
- 通过DNS或文件验证域名所有权后下载证书文件(含.crt、.key、.ca-bundle)
二、配置Web服务器
上传证书文件至云服务器(如/etc/nginx/ssl/),并根据服务器类型修改配置:
Nginx示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/cert.crt;
ssl_certificate_key /etc/nginx/ssl/cert.key;
}Apache示例:
SSLEngine on SSLCertificateFile /etc/apache2/ssl/cert.crt SSLCertificateKeyFile /etc/apache2/ssl/cert.key
三、验证与维护
完成配置后需进行以下操作:
- 使用
nginx -t或apachectl configtest检查语法错误 - 通过浏览器访问
https://域名确认证书状态 - 设置证书自动续期(如Certbot工具)
- 定期检查私钥文件权限(建议600)
通过合理选择证书类型、规范配置流程及定期维护,可有效提升云服务的安全性。自签名证书适用于内部测试,而CA颁发证书则为生产环境提供可信保障。
