Web服务器SSL证书生成与HTTPS安全配置指南
一、生成SSL证书
SSL证书的生成分为自签名证书和CA机构颁发两种方式,以下为通用流程:
- 生成RSA私钥文件(建议2048位以上长度)
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR)
openssl req -new -key server.key -out server.csr需填写域名、组织等信息 - 提交CSR至CA机构(如Let’s Encrypt)完成域名所有权验证
- 下载包含公钥的证书文件(通常包含.crt和中间证书链)
二、配置Web服务器
以下为Apache与Nginx服务器的典型配置示例:
ServerName example.com
SSLEngine on
SSLCertificateFile /path/server.crt
SSLCertificateKeyFile /path/server.key
SSLCertificateChainFile /path/chain.crt
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
ssl_trusted_certificate /path/chain.crt;
}配置完成后需重启服务systemctl restart nginx
三、HTTPS安全配置优化
- 强制HTTP跳转HTTPS:通过301重定向实现全站加密
- 启用HSTS头部:
Strict-Transport-Security: max-age=31536000 - 选择加密套件:禁用SSLv3/TLS 1.0等过时协议,优先使用TLS 1.2+
- 配置OCSP装订:提升证书验证效率
