一、证书选择与申请
根据网站类型选择SSL证书类型:域名验证型(DV)适用于个人网站,组织验证型(OV)适合企业应用,扩展验证型(EV)则推荐用于金融等高安全需求场景。通过阿里云等可信CA机构完成证书购买后,需提交包含公钥信息的CSR文件进行验证审核。
二、生成CSR与验证流程
在服务器上生成密钥对,通过OpenSSL工具创建包含域名和组织信息的CSR文件。示例Apache服务器生成命令:
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr提交CSR至CA机构后,需通过DNS验证或文件验证确认域名所有权,企业证书还需提交营业执照等资质文件。
三、证书安装与部署
证书签发后需完成以下步骤:
- 下载包含.crt、.key和CA链文件的证书包
- 通过SFTP将文件上传至服务器指定目录(如/etc/ssl/)
- 配置Web服务器(以Nginx为例):
ssl_certificate /etc/ssl/server.crt; ssl_certificate_key /etc/ssl/server.key; ssl_trusted_certificate /etc/ssl/ca_bundle.crt;
部署后需重启服务并设置HTTP强制跳转HTTPS。
四、安全配置与验证
为确保安全性需进行以下加固:
- 启用HSTS头部防止SSL剥离攻击
- 配置TLS 1.2+协议并禁用弱加密套件
- 使用在线工具(如SSL Labs)检测证书链完整性
- 设置证书自动续期提醒,避免服务中断
验证成功标志包括浏览器地址栏显示绿色锁型图标,且HTTPS请求返回200状态码。
正确配置服务器证书需贯穿选择、生成、部署、验证全流程,配合协议强化与定期更新,可有效防御中间人攻击和数据泄露风险,同时满足等保2.0等合规要求。
