一、选择符合需求的证书类型
生成符合安全标准的域名证书需从证书类型选择开始。通配符证书(*.yourdomain.com)能覆盖所有子域名,适合多子站点的企业。OV证书通过组织信息验证,可提升企业官网可信度,而EV证书在浏览器地址栏显示企业名称,适用于金融等高安全场景。
主流证书选择建议:
- 个人博客:Let’s Encrypt免费DV证书
- 企业官网:DigiCert/Sectigo的OV证书
- 电商平台:支持SAN的多域名EV证书
二、快速生成CSR文件
使用OpenSSL生成CSR文件是标准化流程,Linux服务器执行以下命令:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr需准确填写企业信息(国家代码、组织名称等),生成的.key文件需设置600权限并离线存储。
三、自动化验证与证书下载
主流CA机构支持三种验证方式:
- DNS验证:添加指定TXT记录
- 文件验证:上传指定验证文件到服务器根目录
- 邮件验证:向WHOIS邮箱发送确认信
推荐使用DNS验证结合自动化工具(如Certbot)实现证书自动续期,避免手动更新带来的安全风险。
四、安全部署与配置优化
服务器安装需遵循最小权限原则:
- 证书文件:/etc/ssl/certs/ (644权限)
- 私钥文件:/etc/ssl/private/ (600权限)
Nginx配置示例:
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/yourdomain.crt;
ssl_certificate_key /etc/ssl/private/yourdomain.key;
ssl_protocols TLSv1.2 TLSv1.3;
}通过证书类型精准匹配、自动化CSR生成、DNS验证集成以及权限分级管理,可实现兼顾效率与安全的证书部署方案。建议每季度检查证书有效期,并启用HSTS等扩展安全策略。
