1. 准备工作与环境配置

生成SSL证书前需准备以下工具：

• OpenSSL 1.1.1及以上版本（支持TLS 1.3协议）
• 已备案的域名和服务器访问权限
• 证书颁发机构(CA)账号（推荐Let’s Encrypt或DigiCert）

建议在Linux环境下操作，通过终端执行命令更稳定可靠。需确保服务器防火墙开放443端口。

2. 生成ECC 256位私钥

使用椭圆曲线加密算法生成高强度私钥：

openssl ecparam -genkey -name prime256v1 -out server.key
openssl ec -in server.key -text -noout # 验证密钥参数

prime256v1参数对应256位ECC密钥，相比传统RSA 2048位密钥具有更优的性能与安全性。

3. 创建证书签名请求

生成CSR文件时需包含以下信息：

1. 完整的域名（如www.example.com）
2. 组织名称（需与营业执照一致）
3. 地理位置信息（国家/省份代码）

openssl req -new -key server.key -out server.csr -sha256

4. 证书签发与安装

通过CA验证后获取证书文件：

• DV证书：完成DNS解析验证即可自动签发
• OV/EV证书：需提交组织证明文件人工审核

安装时需注意证书链完整性，推荐使用Nginx配置示例：

ssl_certificate     /path/server.crt;
ssl_certificate_key /path/server.key;
ssl_protocols       TLSv1.2 TLSv1.3;
ssl_ciphersECDHE-ECDSA-AES256-GCM-SHA384;