一、证书生成准备
在生成Web应用防火墙证书前,需准备OpenSSL工具并确认服务器环境。建议创建专用目录存储证书文件,同时记录证书有效期和关联域名信息。
| 组件 | 版本要求 |
|---|---|
| OpenSSL | ≥1.1.1 |
| 存储空间 | ≥100MB |
二、生成证书请求文件
通过以下步骤生成CSR(证书签名请求)文件:
- 执行命令生成私钥:
openssl genrsa -out private.key 2048 - 创建CSR文件:
openssl req -new -key private.key -out server.csr - 向CA机构提交CSR文件获取签名证书
三、导入证书到WAF
主流WAF系统证书导入流程:
- 登录WAF管理控制台,进入证书管理模块
- 选择PEM格式证书文件(含完整证书链)
- 绑定证书到指定防护域名和协议端口
注意不同WAF产品的证书存储路径差异,建议上传前验证证书私钥匹配性。
四、验证与配置
完成导入后需执行:
- 通过浏览器访问验证HTTPS连接状态
- 检查WAF日志中的证书加载记录
- 配置强制HTTPS跳转和HSTS策略
五、常见问题处理
证书导入异常解决方案:
- 证书链不完整:合并中间证书到PEM文件
- 格式错误:使用
openssl转换证书编码格式 - 私钥不匹配:重新生成密钥对并申请证书
正确生成和导入WAF证书需要严格遵循格式规范与操作流程。建议定期检查证书有效期,结合自动化工具实现证书续期管理。通过合理配置证书策略,可有效提升Web应用的安全防护能力。
