自己生成SSL证书怎么弄?核心是借助OpenSSL工具完成。先通过openssl version命令检查自己是否安装了SSL证书,未装则按对应系统执行安装命令。随后有两种生成方式,一是直接用一条命令生成自签名证书,二是分步生成私钥、CSR再完成签名,还能通过命令验证证书信息,不过需注意自签名证书的适用场景与浏览器警告问题。想了解具体操作细节和注意事项,就往下看正文吧。
一、安装OpenSSL
OpenSSL是自己生成SSL证书的重要工具之一,几乎所有的Linux发行版、macOS甚至Windows都是默认包含的,可以使用下面的命令来检查是否已经安装:
openssl version
如果未安装,在Ubuntu/Debian上可使用sudo apt install openssl,CentOS/RHEL用sudo yum install openssl,macOS用户可用Homebrew安装:brew install openssl。
二、自己生成SSL证书的方式1、生成自签名证书
可以执行以下命令,系统会提示输入一些证书信息,如国家、组织、域名等,最终会生成一个包含了私钥和证书的PEM文件:
openssl req-x509-newkey rsa:2048-keyout server.key-out server.crt-days 365
参数说明:
- -x509:直接生成自签名证书,而非证书签名请求(CSR)。
- -newkey rsa:2048:新建2048位RSA私钥。
- -keyout:私钥保存路径。
- -out:证书保存路径。
- -days:有效期,单位天。
2、分步生成
(1)生成私钥
openssl genrsa-out server.key 2048
(2)生成证书签名请求(CSR)
openssl req-new-key server.key-out server.csr
此步骤会交互式填写证书信息,其中“Common Name”必须填写你的域名或IP地址。
(3)生成自签名证书
openssl x509-req-days 365-in server.csr-signkey server.key-out server.crt三、验证自己生成的证书
使用以下命令查看证书内容:
openssl x509-in server.crt-text-noout
重点关注“Subject”和“Subject Alternative Name”是否包含正确的域名,以及有效期是否符合预期。
四、自己生成SSL证书的注意事项1、自签名证书虽然默认无吊销机制,但建议每隔一年重新生成一次;
2、Chrome、Firefox等浏览器可能还是会对自签名证书发出安全警告,可以将证书导入系统受信任根证书列表来临时解决这一问题,但仅适用于个人设备之中;
3、对于任何正式上线的网站,建议大家使用由正规CA机构签发的付费SSL证书,保证网站的安全性。
自己生成SSL证书可以通过OpenSSL来解决,在几分钟内就可以创建适用于开发、测试环境的自签名证书,虽然自签名证书无法替代受信任CA签发的付费SSL证书,但在一些特殊环境下也能够为大家提供低成本、高效率的加密方案。
推荐阅读:
《手把手教你领取免费1年宝塔商用SSL证书(限宝塔面板新用户)》
(本文由美国主机侦探原创,转载请注明出处“美国主机侦探”和原文地址!)
微信扫码加好友进群
主机优惠码及时掌握
QQ群号:164393063
主机优惠发布与交流
