用csr申请域名SSL证书的重要技术细节

csr 生成

openssl命令为 abcdetest.com 生成 csr文件和 pem文件

openssl req -new -newkey rsa:2048 -nodes -keyout abcdetest_com.pem -out abcdetest_com.csr -subj /CN=abcdetest.com; cat abcdetest_com.csr

csr文件用来向域名服务商申请SSL证书

pem文件实际上就是私钥

上传csr申请ssl证书

主要的技术问题，是需要验证你真的拥有 abcdetest.com

验证的方法：

1 向 admin@abcdetest.com 发送邮件

2 添加一个dns cname记录到域名abcdetest.com

一般选择后者，因为不需要搭建邮件服务器

验证通过后，会得到

abcdetest.com.ca-bundle

abcdetest.com.crt

abcdetest.com.p7b

为nginx生成 private.key 和 pem 文件

生成fullchain文件

cat abcdetest.com.crt abcdetest.com.ca-bundle > abcdetest.com.fullchain.pem

生成private key文件

就是第一步中的 abcdetest_com.pem 啦

server {
listen 443;
server_name domain.com;
ssl on;
ssl_certificate abcdetest.com.fullchain.pem路径;
ssl_certificate_key abcdetest_com.pem路径;
ssl_prefer_server_ciphers on;
}