一、数字证书类型选择
生成服务器数字证书前需明确需求,主要类型包括:
- 自签名证书:适合测试环境,无需CA验证,但浏览器会显示安全警告
- DV证书:仅验证域名所有权,适合个人站点
- OV/EV证书:需验证组织资质,适用于企业官网
二、快速生成方法
方法1:使用OpenSSL生成自签名证书
- 生成私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 生成有效期为10年的证书:
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
方法2:使用Let’s Encrypt免费证书
- 安装Certbot工具:
sudo apt-get install certbot python3-certbot-nginx - 执行自动化配置:
sudo certbot --nginx -d yourdomain.com
三、证书安装与验证
在Nginx中配置示例:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
}验证命令:sudo nginx -t && sudo systemctl reload nginx
四、注意事项
- 生产环境必须使用可信CA机构颁发的证书,自签名证书仅限内部使用
- 证书有效期建议不超过825天,定期更新密钥
- 配置时需包含完整的证书链,避免浏览器警告
通过OpenSSL工具链或Let’s Encrypt自动化服务,可在10分钟内完成证书生成与部署。测试环境推荐自签名方式,生产环境应选择DigiCert、Let’s Encrypt等权威CA机构。
