SSL证书生成步骤
通过OpenSSL工具生成证书需遵循标准流程:
- 生成4096位的RSA私钥文件
openssl genrsa -out server.key 4096 - 创建证书签名请求(CSR)
openssl req -new -key server.key -out server.csr需准确填写机构信息 - 使用CA签名证书(正式环境)或生成自签名证书
openssl x509 -req -in server.csr -signkey server.key -out server.crt
服务器配置指南
以Nginx为例的正确配置规范:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5';
}
需确保证书文件路径正确,并启用TLS 1.2+协议
常见错误排查
- 证书链不完整:需合并中间证书到服务器证书文件
- 域名不匹配:检查CSR中Common Name与SAN扩展字段
- 时间校验失败:同步服务器时间至NTP服务器
证书维护建议
建议建立证书生命周期管理机制:
- 设置证书过期前30天自动提醒
- 使用OCSP装订技术提升验证效率
- 定期更新加密套件配置
遵循标准化生成流程,结合自动化监控工具,可有效降低SSL配置错误率。建议生产环境使用可信CA签发证书,并定期进行安全审计。
