Linux 系统证书安装-CFANZ编程社区

在当今数字化时代，网络安全至关重要，而证书在保障网络通信安全方面发挥着关键作用。我们都知道 Windows 系统安装证书有其特定流程，那么 Linux 系统该如何安装证书呢？

一、生成证书请求（可选）

若尚未拥有证书，需先生成证书请求文件（CSR），这一过程借助 OpenSSL 工具来实现。具体操作如下：

创建私钥：运用openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048指令，创建一个 2048 位的 RSA 私钥文件，命名为private.key。此私钥犹如一把私密钥匙，务必妥善保管，防止泄露。
创建 CSR：接着执行openssl req -new -key private.key -out request.csr命令。在执行过程中，系统会提示输入国家、省份、城市、组织名称等详细信息。按照实际情况准确填写后，即可生成证书请求文件request.csr。

二、提交证书请求并获取证书

完成证书请求文件生成后，需将 CSR 文件提交给证书颁发机构（CA）。CA 会对提交的信息进行严格审核，审核通过后便会颁发证书。若选择自签名证书，可通过openssl x509 -req -days 365 -in request.csr -signkey private.key -out certificate.crt指令生成有效期为 365 天的自签名证书certificate.crt。不过需要注意的是，自签名证书在信任度方面可能不如 CA 颁发的证书。

三、安装证书

复制证书文件：将 CA 颁发的证书文件（常见格式为.crt或.pem）以及私钥文件（如private.key）上传至 Linux 服务器。随后，通过sudo cp certificate.crt /etc/ssl/certs/和sudo cp private.key /etc/ssl/private/指令，分别将证书文件复制到/etc/ssl/certs/目录，私钥文件复制到/etc/ssl/private/目录。
设置文件权限：为保障证书和私钥文件的安全性，要合理设置文件权限。执行sudo chmod 600 /etc/ssl/private/private.key和sudo chmod 644 /etc/ssl/certs/certificate.crt，将私钥文件权限设为 600，证书文件权限设为 644。如此一来，只有特定用户才能访问和操作这些文件，有效防止非法访问。

四、配置服务器软件

Apache 服务器配置：若使用 Apache 服务器，需编辑 Apache 的配置文件（通常位于/etc/apache2/sites-available/）。在配置文件中添加或更新如下内容：

<VirtualHost *:443>
    ServerName yourdomain.com
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/certificate.crt
    SSLCertificateKeyFile /etc/ssl/private/private.key
    # 如果CA提供了中间证书，也需要指定它
    SSLCertificateChainFile /etc/ssl/certs/chain.pem
</VirtualHost>

Nginx 服务器配置：若使用 Nginx 服务器，编辑 Nginx 的配置文件（通常位于/etc/nginx/sites-available/），添加或更新以下配置：

server {
    listen       443 ssl;
    server_name  yourdomain.com;
    ssl_certificate     /etc/ssl/certs/certificate.crt;
    ssl_certificate_key /etc/ssl/private/private.key;
    # 如果CA提供了中间证书，也需要指定它
    ssl_trusted_certificate /etc/ssl/certs/chain.pem;
}

五、验证证书安装

完成上述一系列操作后，可通过访问网站或借助相关工具来验证证书是否安装成功。例如，在浏览器中访问 HTTPS 网站，查看页面是否显示安全锁标志，同时仔细核对证书信息是否准确无误。此外，还可使用openssl s_client -connect yourdomain.com:443等工具来测试与服务器的 SSL 连接，并获取详细的证书相关信息，以此判断证书的有效性和配置是否正确。

值得一提的是，如果是安装 ssh 证书，其步骤与上述有所不同。首先在客户端生成证书，生成的证书包含私钥和公钥。私钥需妥善保存在客户端，并设置密码加强保护；公钥则上传至 ssh 服务器，添加到指定文件中。之后在服务器上对 ssh 服务进行配置，开启证书登录功能。最后在 ssh 客户端添加私钥，完成上述步骤后，即可使用该私钥顺利登录到服务器。