一、SSL证书生成位置与类型选择
SSL证书的生成位置通常位于服务器以下目录中:
/etc/ssl/certs/(Linux系统默认证书存储路径)/usr/local/nginx/conf/ssl/(Nginx自定义配置路径)C:\Certificates\(Windows服务器常见存储位置)
证书类型建议根据使用场景选择:
- 开发测试环境:使用OpenSSL生成自签名证书
- 生产环境:从Let’s Encrypt获取免费证书或购买商业CA证书
二、服务器配置部署流程
主流Web服务器的SSL配置方法:
Nginx配置示例
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
# 其他SSL参数配置
}
Apache配置要点
- 启用mod_ssl模块
- 在VirtualHost配置中添加SSLCertificateFile和SSLCertificateKeyFile路径
- 配置证书链文件(如适用)
三、证书验证与测试方法
部署完成后需进行验证:
- 浏览器检查:确认地址栏显示安全锁标志
- 命令行验证:
openssl s_client -connect domain:443 - 在线检测工具:SSL Labs测试评级达到A+
四、证书维护与续期策略
建议建立维护机制:
- 使用crontab设置Let’s Encrypt证书自动续期
- 商业证书到期前30天触发邮件提醒
- 定期检查私钥文件权限(建议设置为600)
正确的SSL证书部署需要关注生成位置的安全性、服务器配置的准确性以及持续维护机制。建议开发环境使用自签名证书快速验证,生产环境优先选择自动化管理的免费证书方案,关键业务系统采用OV/EV级别商业证书。
