服务器运维时Certificate证书如何配置

在服务器运维时配置Certificate证书，通常涉及以下步骤：

生成密钥和证书签名请求（CSR）

• 使用OpenSSL工具生成私钥：

  openssl genrsa -des3 -out server.key 2048
  

• 生成CSR：

  openssl req -new -key server.key -out server.csr
  

提交CSR到证书颁发机构（CA）

• 将生成的CSR文件发送给CA，例如通过邮件：

  mail s "Certificate Signing Request" your_domain@example.com < server.csr
  

CA验证并签发证书

• CA收到CSR后，会进行验证，包括域名所有权、企业信息等，验证通过后，CA会签发一个X.509格式的证书，通常是server.crt。

安装证书到服务器

• Nginx：

  • 将签发的证书（server.crt）和私钥（server.key）复制到服务器上，例如：

    cp server.crt /etc/ssl/certs/
    cp server.key /etc/ssl/private/
    

  • 编辑Nginx配置文件（通常位于/etc/nginx/nginx.conf或/etc/nginx/sites-available/default），添加以下内容：

    server {
        listen 443 ssl;
        server_name your_domain.com;
        ssl_certificate /etc/ssl/certs/server.crt;
        ssl_certificate_key /etc/ssl/private/server.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
        ssl_prefer_server_ciphers on;
        location / {
            root html;
            index index.html index.htm;
        }
    }
    

  • 保存配置文件并重启Nginx服务：

    sudo service nginx restart
    

• Apache：

  • 将证书文件（server.crt）和私钥文件（server.key）复制到服务器的指定目录，例如：

    cp server.crt /etc/apache2/ssl/
    cp server.key /etc/apache2/ssl/
    

  • 编辑Apache配置文件（通常位于/etc/apache2/httpd.conf或/etc/apache2/sites-available/000-default.conf），添加以下内容：

    <VirtualHost *:443>
        ServerName your_domain.com
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/server.crt
        SSLCertificateKeyFile /etc/apache2/ssl/server.key
        DocumentRoot /var/www/html
        <Directory "/var/www/html">
            AllowOverride All
            Require all granted
        </Directory>
    </VirtualHost>
    

  • 保存配置文件并重启Apache服务：

    sudo service apache2 restart
    

• Windows Server（IIS）：

  • 打开IIS管理器，选择对应的网站。
  • 在网站上右键，选择“编辑绑定”。
  • 在绑定窗口中选择需要安装证书的域名，点击“编辑”按钮。
  • 在编辑窗口中，选择“HTTPS”协议，点击“选择”按钮。
  • 在SSL证书选择窗口中，选择“导入”按钮。
  • 在导入窗口中，选择“本地计算机”，点击“下一步”按钮。
  • 在文件选择窗口中，选择之前下载的证书文件（.pem或.crt文件），点击“确定”按钮。
  • 在绑定窗口中，点击“确定”按钮，完成证书安装。

验证SSL证书

• 使用浏览器访问您的网站，确保URL从HTTP切换到HTTPS，并且显示安全锁标志。

自动化证书管理

• 使用工具如Let’s Encrypt可以自动化证书的申请和安装过程。例如，使用Certbot：

  certbot --nginx -d yourdomain.com
  

  Certbot会自动修改Nginx配置并申请证书。

以上步骤涵盖了从生成密钥和CSR到安装和验证证书的完整流程。具体的配置步骤可能因服务器软件和操作系统的不同而有所变化，建议参考相关文档或寻求专业帮助以获得详细的配置指导。