工具准备与环境要求
生成自签名证书需安装OpenSSL工具,支持Windows/Linux/macOS系统。建议使用OpenSSL 1.1.1以上版本,确保支持最新加密算法。关键参数说明:
-days 3650:设置十年有效期-key:指定私钥文件路径-x509:生成自签名证书类型
生成私钥与证书请求
执行以下命令生成2048位RSA私钥(可选4096位增强安全性):
openssl genrsa -out server.key 2048创建证书签名请求(CSR),按提示填写域名与组织信息:
openssl req -new -key server.key -out server.csr若需批量生成或配置多域名,需创建包含subjectAltName的扩展文件。
签署十年有效期证书
通过以下命令生成X.509格式证书(有效期3650天):
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt若需建立CA体系,可先生成根证书再签署服务端证书,实现层级验证。
证书验证与部署
检查证书详细信息:
openssl x509 -in server.crt -text -noout部署到Nginx/Apache等服务器时需注意:
- 将
.crt和.key文件置于安全目录 - 配置Web服务器指向证书路径
- 启用HSTS强制HTTPS连接
通过OpenSSL命令行工具可在5分钟内完成十年有效期自签名证书的创建,特别适用于测试环境或内部系统。虽然浏览器会标记为「不安全」,但通过安装根证书或配置HSTS策略可改善用户体验。
