SSL证书部署指南:生成CSR与安装证书全流程
一、生成CSR文件
CSR(证书签名请求)是申请SSL证书的必要文件,包含公钥和组织信息。建议通过OpenSSL工具生成,遵循以下步骤:
- 生成RSA私钥:
openssl genpkey -algorithm RSA -out private.key -aes256 - 创建CSR请求文件:
openssl req -new -key private.key -out domain.csr
生成过程中需填写域名、组织名称、所在地等信息,其中Common Name必须与网站域名完全一致。
二、申请SSL证书
向CA机构提交CSR文件后需完成验证流程:
- 域名验证:通过DNS解析或文件验证确认域名所有权
- 企业验证(OV/EV类型):需提交营业执照等证明文件
通过验证后,CA会颁发包含.crt证书文件和中级证书链的文件包。
三、安装证书文件
不同Web服务器的安装方式有所差异,以常见服务器为例:
SSLCertificateFile /path/certificate.crt SSLCertificateKeyFile /path/private.key SSLCertificateChainFile /path/intermediate.crt
Nginx需在配置文件中指定ssl_certificate和ssl_certificate_key路径,Tomcat需将证书导入JKS密钥库。
四、验证配置
完成安装后需进行三项验证:
- 通过
https://域名访问测试 - 使用SSL Labs在线检测工具检查证书链完整性
- 验证浏览器地址栏锁形标识是否正常显示
