证书 on 编程技术记录 https://blog.z6z8.cn/tags/%E8%AF%81%E4%B9%A6/ Recent content in 证书 on 编程技术记录 Hugo zh-Hans Wed, 10 Dec 2025 02:26:48 +0000 TLS证书签发流程 https://blog.z6z8.cn/2025/12/10/tls%E8%AF%81%E4%B9%A6%E7%AD%BE%E5%8F%91%E6%B5%81%E7%A8%8B/ Wed, 10 Dec 2025 02:26:48 +0000 https://blog.z6z8.cn/?p=1524 <h1 id="签发类型">签发类型</h1> <p>根据签发机构类型,TLS证书签发可以划分为两种:</p> <ul> <li><strong>公信CA(Certificate Authority)签发的证书</strong>(如DigiCert、Let’s Encrypt、Sectigo等)</li> <li><strong>企业内部私有CA签发的证书</strong>。</li> </ul> <p>公信CA签发与企业内部私有CA签发,两者的区别是公信力不同。一般情况下,互联网环境不应信任企业内部私有CA签发的证书。</p> <p>下面主要详细说明最常见的 <strong>公信CA签发域名验证(DV)、组织验证(OV)、扩展验证(EV)证书的过程</strong>,以及全网最流行的免费证书Let’s Encrypt为例的自动化流程。</p> <h1 id="公信ca签发证书的通用流程dvovev">公信CA签发证书的通用流程(DV/OV/EV)</h1> <ol> <li> <p><strong>生成CSR(Certificate Signing Request,证书签名请求)</strong></p> <ul> <li> <p>在你的服务器上首先生成一对密钥:私钥(private key)和公钥(public key)。</p> </li> <li> <p>使用私钥生成CSR文件,CSR里包含了:</p> <ul> <li>域名(Common Name 或 SAN 列表)</li> <li>组织信息(OV/EV证书需要)</li> <li>公钥</li> <li>国家、省份、城市、公司名称等(OV/EV需要)</li> </ul> </li> <li> <p>常用命令(OpenSSL):</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr </span></span></code></pre></div></li> </ul> </li> <li> <p><strong>选择CA并提交申请</strong></p> <ul> <li>登录CA官网(或通过ACME协议自动化),选择证书类型(DV/OV/EV)、有效期。</li> <li>上传CSR(或者有些CA让你直接在网页填写信息后帮你生成)。</li> </ul> </li> <li> <p><strong>域名控制权验证(DCV,Domain Control Validation)</strong></p> <p>这是所有公信证书都必须完成的步骤,证明你确实控制这个域名。常见三种方式:</p> <ul> <li> <p><strong>HTTP验证</strong>(最常见):CA给你一段随机token,你需要在域名下 <code>.well-known/acme-challenge/</code> 路径放一个特定文件</p> <p>示例: <a href="http://yourdomain.com/.well-known/acme-challenge/xxxxxx">http://yourdomain.com/.well-known/acme-challenge/xxxxxx</a></p> </li> <li> <p><strong>DNS验证</strong>:CA给你一段TXT记录,你需要在域名DNS管理面板添加 _acme-challenge.yourdomain.com TXT &ldquo;xxxxxx&rdquo;</p> </li> <li> <p><strong>Email验证</strong>(较少用):给域名whois邮箱或管理员邮箱(如admin@、webmaster@)发邮件,点链接确认</p> </li> </ul> </li> </ol> <p>DV证书只做这一步;OV/EV还要额外验证组织合法性。</p> <ol> <li><strong>(OV/EV专属)组织信息验证</strong> <ul> <li>核实公司工商注册信息(通过第三方数据库如Dun &amp; Bradstreet)</li> <li>核实营业执照、法人身份</li> <li>电话回访确认申请人身份和授权</li> <li>验证域名管理权归属公司(whois + 额外证明文件)</li> </ul> </li> <li><strong>CA签发证书</strong> <ul> <li>CA用自己的中间证书或根证书的私钥,对你的公钥+域名+有效期等信息进行签名,生成证书文件(.crt 或 .pem)</li> <li>同时会下发CA链证书(中间证书 bundle,参考下面附录)</li> </ul> </li> <li><strong>下载并安装证书</strong> <ul> <li>你把证书、公钥、私钥安装到Web服务器(Nginx/Apache/IIS等)</li> <li>重启服务,以使证书生效</li> </ul> </li> </ol> <h2 id="最常见的自动化签发lets-encryptacme协议">最常见的自动化签发:Let’s Encrypt(ACME协议)</h2> <p>Let’s Encrypt是目前全球使用量最大的免费CA,90天有效期,完全自动化。</p>