一、准备工作与工具选择
生成SSL证书前需准备有效域名和服务器访问权限。推荐选择Let’s Encrypt免费证书,其自动化工具Certbot支持Nginx、Apache等主流服务器,能在5分钟内完成证书签发。
| 工具 | 类型 | 有效期 |
|---|---|---|
| OpenSSL | 自签名 | 自定义 |
| Certbot | 免费DV | 90天 |
| 云平台签发 | 商业证书 | 1-2年 |
二、生成SSL证书的三种方法
- 自签名证书:通过OpenSSL生成密钥与CSR文件,需手动配置信任链。
- 自动化工具:执行
sudo certbot --nginx -d example.com命令,Certbot自动完成域名验证与证书部署。 - 商业证书:在云服务平台提交CSR后,通过DNS解析或文件验证完成签发。
三、配置Web服务器证书
以Nginx为例,证书安装需修改配置文件:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/fullchain.pem;
ssl_certificate_key /path/privkey.pem;
配置完成后执行sudo nginx -t检查语法,重载服务生效。
四、验证与维护
- 通过浏览器访问
https://域名检查证书状态 - 使用SSL Labs在线工具检测配置安全性
- 设置crontab定时任务自动续期Let’s Encrypt证书
通过自动化工具可在10分钟内完成SSL证书的生成与部署,配合正确的服务器配置可实现全站HTTPS加密。定期维护与自动续期能保障服务连续性,建议优先选择带OCSP封装的证书提升加载速度。
