方法一:使用OpenSSL创建自签名证书
通过终端执行以下命令序列生成自签名证书:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建有效期365天的证书:
openssl req -x509 -sha256 -nodes -days 365 -key server.key -out server.crt - 生成包含私钥和证书的.pfx文件(可选):
openssl pkcs12 -export -out ssl.pfx -inkey server.key -in server.crt
此方法生成的证书需手动配置到Apache/Nginx等服务器,但会被浏览器标记为不安全。
方法二:通过Let’s Encrypt申请免费证书
通过Homebrew安装certbot工具完成自动化申请:
- 安装工具:
brew install certbot - 执行申请命令:
sudo certbot certonly -d "yourdomain.com" --manual --preferred-challenges dns - 按提示添加DNS解析验证域名所有权
- 证书文件默认存储在
/etc/letsencrypt/live/目录下
该方式获取的证书有效期为90天,需配置自动续期脚本。
方法三:使用mkcert生成本地信任证书
通过零配置工具生成浏览器信任的本地开发证书:
- 安装工具:
brew install mkcert - 创建证书目录:
mkdir -p ~/.cert - 生成证书:
mkcert -key-file ~/.cert/key.pem -cert-file ~/.cert/cert.pem "localhost" - 安装根证书:
mkcert -install
此方法生成的证书自动被系统信任,支持多域名配置,适用于本地开发环境。
三种方法分别适用于不同场景:自签名证书适合快速测试,Let’s Encrypt适合生产环境部署,mkcert则是本地开发的理想选择。建议根据实际需求选择对应方案,并注意证书有效期管理和安全配置。
