工具准备与环境要求
生成自签名SSL证书需要安装OpenSSL工具包,支持Windows/Linux/macOS系统。建议使用OpenSSL 1.1.1以上版本,密钥长度推荐4096位以保证安全性。生成前需确保存储目录具备写入权限,建议新建专用目录存放密钥文件。
生成CA根证书
通过以下步骤创建有效期20年的CA证书:
- 生成加密的CA私钥:
openssl genrsa -des3 -out myCA.key 4096 - 创建自签名根证书:
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 7300 -out myCA.crt
注意Common Name建议设置为可识别的机构名称,如”My Root CA”,该证书需导入客户端信任列表。
创建服务器证书
生成带通配符支持的十年有效期证书:
- 创建服务器私钥:
openssl genrsa -out server.key 4096 - 生成CSR请求文件:
openssl req -new -key server.key -out server.csr - 创建包含SAN的扩展配置文件:
authorityKeyIdentifier=keyid,issuer subjectAltName = @alt_names [alt_names] DNS.1 = *.example.com IP.1 = 192.168.1.1
- 签署证书:
openssl x509 -req -days 3650 -in server.csr -CA myCA.crt -CAkey myCA.key -CAcreateserial -out server.crt -extfile cert.ext
证书部署与验证
将生成的server.crt和server.key部署到Web服务器(Nginx/Apache),配置完成后可通过以下命令验证:
- 查看证书有效期:
openssl x509 -in server.crt -noout -dates - 验证证书链:
openssl verify -CAfile myCA.crt server.crt
通过OpenSSL工具链可快速生成长期有效的自签名证书,但需注意浏览器信任管理。建议将CA证书预置到内部设备,并启用HSTS强制HTTPS连接。定期检查密钥文件存储安全,避免私钥泄露风险。
