一、选择证书颁发机构
选择可信的证书颁发机构(CA)是生成有效SSL证书的第一步。主流CA机构包括Let’s Encrypt、Comodo、DigiCert等,其中Let’s Encrypt提供免费DV证书。企业用户建议选择支持OV或EV验证的机构,如Gworg、PinTrust等。
二、生成CSR文件
在服务器上执行以下操作生成证书签名请求(CSR):
- 使用OpenSSL生成2048位私钥:
openssl genrsa -out server.key 2048 - 创建包含域名和组织信息的CSR文件:
openssl req -new -key server.key -out server.csr
三、完成域名验证
根据CA要求选择验证方式:
- DNS解析验证:添加指定TXT记录
- 文件验证:上传特定验证文件到网站根目录
- 邮箱验证:通过域名管理员邮箱确认所有权
四、安装配置证书
获取证书文件后,在服务器进行配置:
- Nginx服务器需在配置文件中指定证书路径:
ssl_certificate /path/server.crt; ssl_certificate_key /path/server.key; - Apache服务器需修改httpd.conf启用SSL模块
- 重启服务后使用SSL检测工具验证配置
生成有效域名SSL证书需经历选择CA、生成CSR、完成验证、安装配置四个核心步骤。DV证书适合个人站点快速部署,企业级应用建议选择OV/EV证书提升可信度。所有SSL证书有效期为1年,需定期更新维护。
