SSL证书生成方法
SSL证书生成主要分为自签名证书和CA颁发证书两种方式。自签名证书适用于测试环境,CA颁发证书则用于生产环境:
- 生成私钥:
openssl genrsa -out server.key 2048创建2048位RSA密钥 - 创建CSR文件:
openssl req -new -key server.key -out server.csr包含域名和组织信息 - 生成证书:
- 自签名:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt - CA颁发:通过Let’s Encrypt或JoySSL等机构提交CSR获取签名证书
- 自签名:
自动续期配置方案
主流证书自动续期方案包含以下两种实现方式:
| 工具 | 有效期 | 部署命令示例 |
|---|---|---|
| Certbot | 90天 | sudo certbot renew --dry-run |
| acme.sh | 90天 | acme.sh --install-cert -d example.com |
配置自动续期的关键步骤:安装客户端工具、设置定时任务、验证续期流程。建议每周执行续期检查并配置强制刷新指令service nginx reload
CA认证配置流程
生产环境推荐使用权威CA认证,典型配置流程包括:
- 选择支持自动续期的CA机构(如JoySSL、Let’s Encrypt)
- 配置域名解析验证:
- 添加CNAME或TXT记录
- 完成DCV验证
- 部署证书文件到服务器:
- Nginx配置示例:
ssl_certificate /path/fullchain.pem - Apache配置示例:
SSLCertificateFile /path/cert.crt
- Nginx配置示例:
通过OpenSSL生成证书、使用Certbot实现自动续期、配置权威CA认证这三个核心环节,可构建完整的SSL证书管理体系。建议生产环境优先选择支持自动续期的CA机构,并定期检查证书状态
