1. 生成SSL证书密钥文件
使用OpenSSL工具生成2048位的RSA私钥是SSL证书配置的基础步骤。执行以下命令生成私钥文件:
openssl genrsa -out server.key 2048该命令会创建加密强度达2048位的私钥文件,建议将密钥文件存储在/etc/ssl/private目录下并设置600权限。
2. 创建证书签名请求(CSR)
通过私钥生成证书签名请求文件时需要准确填写以下字段信息:
- 国家代码(CN/US等)
- 省份与城市名称
- 组织全称与部门名称
- 完全限定域名(FQDN)
执行命令生成CSR文件时,Common Name字段必须与网站域名完全一致:
openssl req -new -key server.key -out server.csr3. 获取并安装SSL证书
根据使用场景选择证书类型:
- 免费证书:Let’s Encrypt适合个人项目
- 付费证书:DigiCert/Sectigo等商业CA证书
通过CA验证后获取证书文件,需将以下文件部署到服务器:
- 服务器私钥文件(.key)
- 证书链文件(.crt或.pem)
- 中间证书文件(CA Bundle)
建议将证书文件存储在/etc/ssl/certs目录并设置644权限。
4. 服务器SSL配置规范
以Nginx服务器为例,在配置文件中添加SSL监听模块:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256;
}配置完成后需执行nginx -t验证语法,并通过ssllabs.com测试证书有效性。
通过密钥生成、CSR创建、证书申请和服务器配置四步操作可完成SSL证书部署。建议定期检查证书有效期,使用自动化工具进行证书续期,并保持加密协议版本更新以应对安全威胁。
