一、选择证书类型
国际SSL证书主要分为三种类型:域名验证型(DV)、组织验证型(OV)和扩展验证型(EV)。DV证书仅验证域名所有权,适合个人网站;OV证书需要验证企业资质,适用于商业平台;EV证书显示绿色企业名称,适合金融机构。
免费证书服务商如Let’s Encrypt仅提供DV证书,付费服务商可提供OV/EV证书。选择时需考虑证书有效期、兼容性及服务商信誉。
二、生成证书签名请求
通过以下步骤生成CSR文件:
- 使用OpenSSL工具生成私钥:
openssl genrsa -out private.key 2048 - 创建CSR文件:
openssl req -new -key private.key -out request.csr - 填写组织信息(国家代码、企业名称、通用域名等)
部分在线生成器可自动创建CSR,但需谨慎处理私钥安全。
三、完成域名验证
主流验证方式包括:
- DNS解析:添加指定TXT记录验证所有权
- 文件验证:上传特定验证文件到网站根目录
- 邮箱验证:通过域名管理员邮箱接收验证码
自动化工具Certbot可自动完成DNS验证流程,适合技术管理人员。
四、选择证书服务商
推荐服务商对比:
| 服务商 | 证书类型 | 有效期 |
|---|---|---|
| Let’s Encrypt | DV | 90天 |
| Comodo | DV/OV/EV | 1-2年 |
| DigiCert | OV/EV | 1年 |
选择受信任的CA机构可确保证书兼容主流浏览器。
五、安装部署证书
下载证书文件后,按服务器类型配置:
- Nginx:修改配置文件的ssl_certificate指令
- Apache:使用SSLCertificateFile指令
- IIS:通过服务器证书管理工具导入
安装后使用SSL Labs测试工具验证配置有效性,建议设置自动续期。
在线生成SSL证书需经过类型选择、CSR生成、域名验证、服务商申请和安装部署五个核心步骤。免费证书适合个人及测试环境,商业网站建议选择OV/EV证书提升信任度。定期更新证书并监控有效性状态是维持HTTPS服务稳定的关键。
