准备工作与环境配置
在开始生成证书前,需要完成以下准备工作:
- 安装OpenSSL工具(Windows需下载完整版并配置环境变量)
- 在服务器创建证书存储目录:
mkdir ssl_cert && cd ssl_cert - 准备配置文件(可选):复制OpenSSL默认配置文件到工作目录
生成CA根证书
通过以下步骤创建证书颁发机构:
- 生成CA私钥:
openssl genrsa -des3 -out ca.key 2048 - 创建CA根证书:
openssl req -x509 -new -nodes -key ca.key -sha256 -days 7300 -out ca.crt - 注意Common Name需设置为可识别名称(如”My Root CA”)
创建服务器证书
生成用于Web服务的证书文件:
- 生成服务器私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 使用CA签署证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256
部署到Web服务器
以Apache为例的部署流程:
- 将server.key和server.crt复制到
/etc/ssl/目录 - 修改虚拟主机配置:
SSLEngine on
SSLCertificateFile /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key
- 重启服务:
systemctl restart apache2
注意事项
使用自签名证书需注意:
- 浏览器会显示安全警告,需手动添加信任
- 证书有效期建议不超过1年
- 生产环境建议使用受信任CA证书
