一、CSR生成与提交
证书签名请求(CSR)是申请SSL证书的核心文件,包含服务器公钥和组织信息。生成流程如下:
- 使用OpenSSL命令行工具生成密钥对:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr - 填写企业信息,包括国家代码(如CN)、组织名称、通用域名(如*.yourdomain.com)等
- 妥善保存生成的私钥文件(.key),将CSR文件提交至CA机构审核
二、CA机构选择策略
根据业务需求选择合适的证书颁发机构:
- 免费证书:适用于测试环境,推荐Let’s Encrypt(90天有效期,支持自动续期)
- 企业级证书:推荐DigiCert、Symantec等,支持通配符证书(如*.yourdomain.com)和扩展验证(EV)
- 国产证书:沃通CA、天威诚信等机构符合国内监管要求,适合政务及金融行业
三、证书安装与服务器配置
收到CA颁发的证书文件后,需按服务器类型进行配置:
SSLEngine on SSLCertificateFile /etc/ssl/certs/yourdomain.crt SSLCertificateKeyFile /etc/ssl/private/yourdomain.key SSLCertificateChainFile /etc/ssl/certs/intermediate.crt
Nginx服务器需在配置文件中指定证书路径:
server {
listen 443 ssl;
ssl_certificate /etc/ssl/yourdomain.crt;
ssl_certificate_key /etc/ssl/private/yourdomain.key;
}
四、证书验证与维护
完成安装后需执行以下操作:
- 使用Qualys SSL Labs等工具检测证书链完整性
- 配置证书自动续期(crontab定时任务或acme.sh脚本)
- 定期备份私钥文件至加密存储设备
通过标准化的CSR生成、CA机构筛选和服务器配置流程,可快速完成HTTPS加密部署。建议企业根据业务场景选择3年期通配符证书,配合自动化运维工具降低管理成本。
