准备工作与环境要求
生成自签名SSL证书需安装OpenSSL工具并创建专用目录:
- 从官网下载OpenSSL并安装至不含空格和中文字符的路径(如C:\OpenSSL32)
- 创建证书存储目录:
mkdir ca certs - 验证安装:执行
openssl version确认返回版本信息
生成私钥与证书文件
通过OpenSSL命令行工具执行以下操作流程:
- 生成2048位私钥:
openssl genrsa -out certs/server.key 2048 - 创建证书签名请求(CSR):
- 必须填写与域名完全一致的Common Name字段
- 执行命令:
openssl req -new -key certs/server.key -out certs/server.csr
- 生成自签名证书:
openssl x509 -req -days 365 -in certs/server.csr -signkey certs/server.key -out certs/server.crt
配置Web服务器
以Nginx为例的配置方法:
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
配置完成后需执行nginx -s reload使新证书生效
注意事项
- 浏览器访问时会提示证书不受信任,需手动确认
- 建议测试环境使用365天有效期,生产环境应缩短周期
- 正式服务推荐使用受信任CA签发证书
