一、选择证书类型与颁发机构
网页加密证书(SSL/TLS证书)是启用HTTPS协议的核心要素。根据安全需求,可选择以下三种类型:
- DV证书:适用于个人博客或小型网站,仅验证域名所有权。
- OV证书:包含企业信息验证,适合电商平台。
- EV证书:提供最高等级认证,显示绿色地址栏,常用于金融机构。
推荐选择Let’s Encrypt、DigiCert等可信证书颁发机构(CA),其中Let’s Encrypt提供免费自动化证书。
二、生成私钥与CSR文件
生成证书需先创建私钥和证书签名请求(CSR):
- 使用OpenSSL生成2048位私钥:
openssl genrsa -out private.key 2048 - 基于私钥创建CSR文件:
openssl req -new -key private.key -out request.csr
创建CSR时需准确填写域名、组织名称等信息,这些内容将嵌入最终证书。
三、提交CSR并验证身份
向CA提交CSR后,需完成域名所有权验证:
- DNS验证:在域名解析中添加指定TXT记录。
- 文件验证:上传CA提供的验证文件至网站根目录。
企业级证书(OV/EV)还需人工审核营业执照等资质文件。
四、下载加密证书
通过验证后,CA会提供包含证书链的加密文件:
- 登录CA管理后台,进入证书下载页面。
- 选择与服务器类型匹配的格式(如Apache用.crt,Nginx用.pem)。
- 下载包含公钥的证书文件(如
website.crt)和中间证书。
五、安装与配置证书
以Nginx服务器为例,配置流程如下:
server {
listen 443 ssl;
ssl_certificate /path/website.crt;
ssl_certificate_key /path/private.key;
# 其他配置...
}配置完成后,使用sudo nginx -t检查语法,并重启服务生效。
正确生成加密证书需经过类型选择、密钥生成、域名验证和服务器配置等关键步骤。建议定期更新证书(如Let’s Encrypt证书有效期为3个月),并启用HTTP到HTTPS的自动跳转以增强安全性。
