准备工作
生成十年期通配符SSL证书前,需准备以下工具和环境:
- 安装OpenSSL命令行工具(Windows/Linux/macOS均支持)
- 创建专用文件夹存储密钥和证书文件,例如
ca和certs - 确认服务器类型(如Nginx、Apache),以便后续部署
生成自签名证书步骤
通过OpenSSL生成十年期通配符证书的核心流程如下:
- 生成CA私钥:
openssl genrsa -des3 -out ca/myCA.key 2048 - 创建CA根证书(有效期20年):
openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt - 生成服务器私钥:
openssl genrsa -out certs/server.key 2048 - 创建包含通配符域名的CSR文件:
openssl req -new -key certs/server.key -out certs/server.csr - 签署十年有效期证书:
openssl x509 -req -in certs/server.csr -days 3650 -CA ca/myCA.crt -CAkey ca/myCA.key -CAcreateserial -out certs/server.crt
证书验证与部署
完成证书生成后需执行以下操作:
- 将CA根证书(
myCA.crt)安装到所有客户端设备 - 在Nginx配置中指定证书路径:
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key; - 启用HSTS强制HTTPS访问
替代方案:免费通配符证书
若需浏览器自动信任的证书,可通过JoySSL等平台申请免费通配符证书:
- 使用注册码
230919完成JoySSL账号注册 - 选择免费通配符证书并提交域名信息
- 通过DNS解析完成域名所有权验证
- 下载证书并部署至服务器
自签名证书适用于内部系统,通过OpenSSL可灵活控制有效期和加密强度;而JoySSL等免费CA方案更适合需浏览器自动信任的公网服务。两种方法均需定期检查私钥安全性和证书有效期。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/583738.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
