证书服务器生成与地址配置指南
一、CA根证书生成规范
通过OpenSSL生成4096位RSA私钥,采用SHA256哈希算法创建自签名根证书。关键操作步骤包括:
- 创建openssl.cnf配置文件定义CA参数
- 生成CA私钥文件:
openssl genrsa -des3 -out ca.key 4096 - 生成X509格式根证书:
openssl req -x509 -new -key ca.key -days 3650 -out ca.crt
| 环境类型 | 有效期 |
|---|---|
| 测试环境 | 1-3年 |
| 生产环境 | 5-10年 |
二、证书服务器配置流程
在Windows Server环境中配置证书服务需注意:
- 通过服务器管理器添加”证书颁发机构”角色
- 选择独立CA模式时需配置CRL分发点
- 设置证书数据库存储路径需预留50GB以上空间
Nginx服务器配置需在nginx.conf中指定证书路径:
ssl_certificate /etc/nginx/ssl/server.pem;
ssl_certificate_key /etc/nginx/ssl/server.key;三、服务器证书部署方法
跨平台部署要点:
- IIS需通过MMC控制台导入中级CA证书
- F5设备要求证书与私钥采用PKCS#12格式打包
- Apache需配置SSLCertificateChainFile指定中级证书
四、验证与测试标准
完成部署后需执行:
- 使用openssl验证证书链完整性:
openssl verify -CAfile ca.crt server.crt - 通过Qualys SSL Labs进行TLS协议检测
- 检查OCSP装订状态响应时间
