一、准备工作与环境配置
生成SSL证书前需准备以下要素:
- 服务器操作系统权限(推荐Linux/Windows Server)
- 安装OpenSSL工具包或CFSSL工具
- 确认要绑定的域名已解析到服务器IP
建议使用OpenSSL 1.1.1以上版本,支持TLS 1.3协议,可通过openssl version命令验证版本。
二、快速生成证书流程
通过命令行工具快速生成证书:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR):
openssl req -new -key server.key -out server.csr - 生成有效期为365天的证书:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
如需通配符证书,在CSR生成环节需使用*.example.com格式域名。
三、验证与部署指南
完成生成后需执行:
- 验证证书信息:
openssl x509 -in server.crt -text -noout - 配置Web服务器(以Apache为例):
示例配置文件片段 SSLEngine on SSLCertificateFile /path/server.crt SSLCertificateKeyFile /path/server.key
部署后可通过SSL Labs测试工具验证配置安全性。
通过标准工具链可在10分钟内完成自签名证书的生成与部署,但生产环境建议向Let’s Encrypt等CA机构申请免费证书,或购买OV/EV证书提升信任等级。定期更新证书和监控有效期是保障服务连续性的关键。
