一、证书状态检查
登录证书颁发机构(CA)管理后台,查看证书到期时间。建议在到期前30天设置提醒,避免服务中断。可通过命令行工具快速检查证书有效期:
openssl x509 -in certificate.crt -noout -dates
二、生成CSR请求文件
使用OpenSSL工具生成包含公钥的证书签名请求(CSR),此文件需提交给CA进行验证:
- 执行生成命令:
openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr - 备份现有证书和私钥文件
- 验证CSR文件有效性:
openssl req -text -noout -verify -in domain.csr
三、申请安装新证书
通过可信CA机构完成域名验证后,按服务器类型部署证书:
- Apache服务器:将证书文件复制到
/etc/httpd/ssl/目录,修改httpd.conf中SSLCertificateFile路径 - Nginx服务器:更新
nginx.conf配置文件中的证书路径并重启服务 - 负载均衡设备:通过管理控制台批量上传证书链文件
四、验证与后续维护
完成安装后需进行三项关键检查:
| 验证项 | 检测方法 |
|---|---|
| 证书链完整性 | SSL Labs测试工具 |
| HTTPS重定向 | 浏览器访问http协议自动跳转 |
| 混合内容警告 | 开发者工具Console面板检查 |
建议启用证书自动续期功能,使用Let’s Encrypt等支持ACME协议的CA可配置crontab定时任务。
通过建立证书监控预警机制,采用标准化更新流程,可将证书更新耗时从数小时缩短至15分钟内完成。推荐使用Certbot等自动化工具实现证书生命周期管理,同时定期进行HTTPS安全审计。
