OpenSSL是一个强大的开源工具,用于管理SSL/TLS证书。以下是使用OpenSSL管理SSL证书链的基本步骤:
如果你还没有证书,可以首先生成一个自签名证书。
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
如果你需要从证书颁发机构(CA)获取证书,你需要创建一个CSR。
openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr
在提示时填写相关信息,如国家、组织名称等。
将生成的domain.csr文件提交给你的证书颁发机构。
一旦CA验证了你的CSR并颁发了证书,你会收到一个或多个证书文件。通常包括:
server.crt)你需要将服务器证书、中间证书和根证书组合在一起,以便客户端可以验证整个证书链。
cat server.crt intermediate.crt root.crt > fullchain.crt
编辑你的SSL/TLS服务器配置文件(例如,Apache的httpd.conf或Nginx的nginx.conf),指定私钥和完整的证书链文件。
Apache示例:
SSLCertificateFile /path/to/fullchain.crt
SSLCertificateKeyFile /path/to/domain.key
Nginx示例:
ssl_certificate /path/to/fullchain.crt;
ssl_certificate_key /path/to/domain.key;
你可以使用OpenSSL命令行工具来验证证书链是否正确配置。
openssl s_client -connect yourdomain.com:443 -showcerts
这将显示从服务器到根证书的完整证书链。
完成上述配置后,重新加载或重启你的Web服务器以应用更改。
Apache示例:
sudo systemctl reload httpd
Nginx示例:
sudo systemctl reload nginx
通过这些步骤,你可以使用OpenSSL有效地管理SSL证书链,确保你的网站或应用程序能够安全地处理HTTPS连接。