一、SSL证书购买准备
选择SSL证书类型时需根据网站规模和安全需求决定:
- 单域名证书:适用于基础型网站
- 通配符证书:支持*.example.com形式子域名
- 扩展验证(EV)证书:显示绿色企业名称栏
推荐从Digicert、GlobalSign等权威CA购买,或使用Let’s Encrypt获取免费证书。
二、生成CSR文件
通过OpenSSL生成包含密钥的CSR文件:
- 执行
openssl genrsa -out private.key 2048生成私钥 - 运行
openssl req -new -key private.key -out server.csr - 填写国家代码、组织名称和域名信息
三、域名验证流程
提交CSR后需完成域名所有权验证:
- DNS验证:添加指定TXT记录
- HTTP验证:上传验证文件到服务器目录
- 邮箱验证:接收验证邮件确认
DV证书验证通常在10分钟内完成,OV/EV证书需人工审核企业资质。
四、证书安装配置
常见服务器配置方法:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/fullchain.pem;
ssl_certificate_key /path/private.key;
}使用Certbot等工具可自动化完成Apache/Nginx证书部署。
通过选择合适证书类型、正确生成CSR文件、完成域名验证并配置服务器,可在2小时内完成SSL证书的全流程部署。定期更新证书和启用HSTS策略能进一步提升网站安全性。
