一、创建CSR模板
生成证书签名请求(CSR)是申请SSL证书的关键步骤,需确保信息准确且密钥安全。推荐流程如下:
- 使用CIM工具生成CSR文件,填写域名、组织名称等必要信息。
- 通过OpenSSL命令行生成私钥:
openssl genrsa -out server.key 2048。 - 在IIS服务器中通过“服务器证书”功能创建证书申请文件。
| 工具 | 适用场景 | 密钥长度 |
|---|---|---|
| CIM客户端 | 跨平台快速生成 | 2048位 |
| OpenSSL | Linux服务器 | 自定义位长 |
| IIS管理器 | Windows环境 | 固定2048位 |
二、证书安装流程
收到CA机构签发的证书后,需完成证书链安装与服务器配置:
- 将中级CA证书导入系统证书库:通过MMC控制台添加至“中级证书颁发机构”。
- 在IIS中通过“完成证书申请”导入服务器证书。
- F5设备需通过SSL Certificates界面导入证书链文件。
三、多平台配置示例
不同Web服务器的证书部署方式存在差异,核心配置要点包括:
- Apache:修改
httpd.conf指定SSLCertificateFile和SSLCertificateKeyFile路径。 - Nginx:在
server块中添加ssl_certificate和ssl_certificate_key指令。 - Tomcat:转换证书为JKS格式并配置
server.xml的Connector节点。
四、常见问题与验证
安装完成后需进行完整性检查:
- 使用
openssl verify -CAfile ca-bundle.crt server.crt验证证书链。 - 检查服务器443端口是否开放且防火墙规则正确。
- 通过SSL Labs测试工具评估配置安全性。
SSL证书的生成与安装需严格遵循CA机构规范,重点注意证书链完整性和私钥保护。建议定期检查证书有效期,并建立自动化更新机制以确保持续安全。
