每个人都可以，
拥有SSL证书

在Web服务部署中，为Nginx配置SSL证书是保障数据传输安全的核心步骤。本文基于OpenSSL工具链，系统梳理从私钥生成到Nginx配置的完整流程，并涵盖ECC证书、多域名证书等高级场景。

基础证书生成流程

生成RSA私钥

openssl genrsa -out server.key 2048

• 生成2048位RSA私钥文件server.key
• 密钥长度建议不低于2048位以保障安全性

创建证书签名请求(CSR)

openssl req -new -key server.key -out server.csr

关键字段说明：

生成自签名证书

openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365

• -days 365显式指定证书有效期为1年
• 自签名证书适用于测试环境，生产环境建议使用CA签发证书

Nginx配置集成

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;

    # 安全协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
}

配置要点：

1. 证书路径需使用绝对路径
2. 重启服务前建议先测试配置语法：

   nginx -t

高级证书场景

ECC证书生成

# 生成ECC私钥
openssl ecparam -genkey -name secp384r1 -out ecc_server.key

# 生成CSR和证书
openssl req -new -key ecc_server.key -out ecc_server.csr
openssl x509 -req -in ecc_server.csr -signkey ecc_server.key -out ecc_server.crt -days 365

优势：

• 相同安全强度下密钥长度更短（384位ECC≈3072位RSA）
• 计算效率更高，适合移动设备场景

多域名证书配置

1. 创建配置文件openssl.cnf：

   [v3_req]
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 = example.com
   DNS.2 = www.example.com

2. 生成证书时指定配置：

   openssl req -new -key server.key -out server.csr -config openssl.cnf
   openssl x509 -req -in server.csr -signkey server.key -out server.crt -extensions v3_req -extfile openssl.cnf

证书验证与维护

证书信息查看

# 查看有效期
openssl x509 -noout -dates -in server.crt

# 查看完整信息
openssl x509 -text -noout -in server.crt

安全注意事项

1. 私钥权限设置：

   chmod 600 server.key

2. 生产环境建议：
   • 使用Let's Encrypt等免费CA（推荐certbot工具）
   • 定期更新证书（建议设置自动化脚本）