服务器证书安装配置指南
CSR生成与提交
生成证书签名请求(CSR)是安装SSL证书的第一步,需使用加密工具生成包含公钥和组织信息的文件。推荐使用OpenSSL工具或专用CSR生成器完成以下步骤:
- 生成私钥文件:执行命令
openssl genpkey -algorithm RSA -out private.key -aes256创建256位加密的RSA私钥。 - 创建CSR文件:运行
openssl req -new -key private.key -out yourdomain.csr,按提示填写域名、组织名称、地理位置等信息。 - 提交至CA:将生成的.csr文件发送至证书颁发机构(如天威诚信或GlobalSign),并妥善备份私钥文件。
域名所有权验证
证书颁发机构需验证申请者对域名的控制权,常见验证方式包括:
- DNS验证:在域名解析中添加CA提供的TXT记录。
- HTTP验证:上传指定验证文件至网站根目录。
验证通过后,CA将通过邮件发送包含服务器证书和中级CA证书的压缩包。
证书格式转换
根据服务器类型要求,需将证书转换为特定格式:
- 合并证书链:使用文本编辑器将服务器证书与中级证书拼接为.pem文件,确保每段证书代码间无空行。
- 转换为PFX格式:执行
openssl pkcs12 -export -out server.pfx -inkey private.key -in server.pem或使用天威诚信CIM工具完成转换。
服务器证书安装配置
通用安装流程包含以下步骤:
- 上传证书文件至服务器安全目录(如
/etc/ssl/certs/)。 - 修改服务器配置文件(如Nginx的
nginx.conf或Apache的httpd.conf),指定证书和私钥路径。 - 重启服务并测试HTTPS连接,使用在线工具检查证书链完整性。
