SSL证书生成方法
生成自签名SSL证书可通过OpenSSL工具实现,包含三个核心步骤:
- 生成2048位的RSA私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR):需填写国家、省份、域名等信息
- 自签名生成证书文件:
openssl x509 -req -in server.csr -signkey server.key -out server.crt
申请受信任证书
向CA机构申请证书需完成以下流程:
- 选择可信CA机构(如Let’s Encrypt、DigiCert)并提交CSR
- 通过DNS记录或文件验证域名所有权
- 下载包含公钥证书、中间证书链的证书包
服务器配置指南
以Nginx服务器为例,配置SSL需修改站点配置文件:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
}需注意证书链完整性和密钥文件权限设置
测试与维护
完成配置后应进行验证:
- 使用浏览器检查证书有效性及加密协议版本
- 通过
openssl s_client -connect domain:443验证握手过程 - 设置证书自动续期(如Let’s Encrypt证书有效期90天)
正确的SSL证书部署需要兼顾生成规范、CA验证、服务器配置和持续维护,建议生产环境优先采用CA颁发的可信证书,配合定期安全审计确保HTTPS服务可靠性
