一、准备工作与环境要求
在开始生成服务器证书前,需确保已具备以下条件:
- 已生成有效的CA根证书(ca.crt)及对应私钥(ca.key)
- 安装OpenSSL工具(版本1.1.1或更高)
- 准备服务器域名/IP地址清单用于证书扩展参数配置
二、生成服务器密钥与CSR
通过以下步骤创建服务器私钥与证书签名请求:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR):
openssl req -new -key server.key -out server.csr
生成CSR时需注意/O字段必须与根证书中的机构名称完全一致
三、签署服务器证书
使用CA根证书完成最终签发:
openssl x509 -req -in server.csr \ -CA ca.crt -CAkey ca.key \ -CAcreateserial -out server.crt \ -days 365 -sha256
建议通过扩展配置文件添加服务器证书特性:
- 设置basicConstraints为CA:FALSE
- 声明subjectAltName包含所有服务域名
四、证书验证与部署
完成签发后需进行两项关键验证:
- 证书链完整性检查:
openssl verify -CAfile ca.crt server.crt - 证书信息核对:
openssl x509 -in server.crt -text -noout
验证通过后,将server.key与server.crt部署至Web服务器(如Nginx/Apache)完成SSL配置
通过CA根证书签发服务器证书是构建私有PKI体系的核心环节,重点在于保持证书链中机构信息的连贯性以及扩展参数的完整性。实际部署时建议将证书有效期控制在1年以内,并建立自动化续期机制。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/581126.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
