SSL证书申请核心流程
完整的SSL证书申请包含三个关键阶段:
- 选择证书类型:根据需求选择DV(域名验证)、OV(企业验证)或通配符证书,通配符证书可保护*.yourdomain.com格式的子域名
- 生成CSR文件:使用OpenSSL命令创建包含公钥和组织信息的请求文件,需保存好私钥.key文件
- CA审核与颁发:提交CSR至CA机构后,需完成域名验证(DNS记录、文件验证或邮箱验证),OV/EV证书还需提交企业资质
服务器SSL配置指南
主流Web服务器的证书部署方式:
SSLEngine on SSLCertificateFile /etc/ssl/certs/yourdomain.crt SSLCertificateKeyFile /etc/ssl/private/yourdomain.key SSLCertificateChainFile /etc/ssl/certs/intermediate.crt
Nginx配置需注意证书链合并:需将主证书与中间证书合并为完整链文件,微信小程序等场景要求严格校验证书链完整性
私有CA搭建基础步骤
企业级内部CA建设流程:
- 使用OpenSSL创建根证书和中间CA证书
- 配置证书策略文件(openssl.cnf)定义密钥用法和扩展属性
- 部署CRL(证书吊销列表)和OCSP响应服务
自动续期技术实现
通过工具实现证书生命周期管理:
- Certbot方案:使用
certbot renew命令配合cron定时任务,支持自动续期Let’s Encrypt证书 - acme.sh方案:支持ZeroSSL等多家CA,通过DNS API实现通配符证书自动化续签
# acme.sh自动续期配置 0 0 * * * /root/.acme.sh/acme.sh --cron --home /root/.acme.sh
完整的证书管理体系应包含证书申请、部署、监控和续期全流程,通过自动化工具可降低运维成本。建议企业根据业务规模选择商业CA或自建CA方案,并定期进行HTTPS安全审计。
