SSL服务器证书生成指南
一、生成前准备
生成SSL证书前需安装OpenSSL工具包,并确认服务器环境支持TLS协议。建议准备独立的证书存储目录,用于管理密钥文件与证书文件。
需要明确证书类型:
- 自签名证书:适用于测试或内网环境
- CA签发证书:需通过认证机构验证域名所有权
二、证书生成步骤
- 生成CA根证书密钥:
openssl genrsa -out ca.key 4096 - 创建自签名根证书:
openssl req -x509 -new -key ca.key -out ca.crt -days 3650 - 生成服务器私钥:
openssl genrsa -out server.key 2048 - 生成CSR请求文件:
openssl req -new -key server.key -out server.csr - 签发服务器证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 825
三、服务器配置流程
在Nginx/Apache中需指定证书链文件路径,典型配置包含:
- SSL协议版本限制:推荐TLSv1.2+
- 证书链合并:将服务器证书与CA证书合并为
server-chain.crt - 强制HTTPS跳转:监听443端口并设置301重定向
四、注意事项
证书有效期建议不超过825天,SAN扩展字段需包含所有域名/IP地址。生产环境应选择OV/EV证书并通过可信CA验证,避免使用自签名证书。密钥文件需设置400权限,禁止明文存储。
