证书生成核心流程
生成可信SSL证书需遵循标准流程,首先选择证书类型:企业应用建议购买权威CA机构颁发的通配符证书,测试环境可选择自签名方案。核心步骤包括:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:需包含国家代码、省份、城市、组织名称和通用域名等完整信息
- 提交CA验证:企业证书需完成域名所有权验证或组织机构认证
服务器配置指南
安装证书后需正确配置Web服务器,以Nginx为例:
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
ssl_trusted_certificate /etc/ssl/certs/ca_bundle.crt;
}需特别注意证书链文件的配置,缺失中间证书会导致浏览器警告。
信任链配置要点
确保浏览器信任需满足三个条件:
- 证书有效期未过期
- 根证书预置在操作系统信任库
- 正确部署完整证书链
自签名证书需手动导入到客户端信任库,Windows系统可通过证书管理器安装.crt文件,macOS需导入至钥匙串并设置为始终信任。
常见问题解决方案
| 错误类型 | 解决方案 |
|---|---|
| NET::ERR_CERT_AUTHORITY_INVALID | 检查中间证书是否遗漏 |
| SEC_ERROR_UNKNOWN_ISSUER | 更新浏览器根证书库 |
可信SSL证书部署需兼顾密钥安全、证书链完整性和服务器配置规范。建议生产环境采用权威CA机构证书,配合HTTPS强制跳转和HSTS策略,可构建完整可信的加密传输体系。
