准备工作与环境配置
执行操作前需安装最新版OpenSSL工具,推荐通过官网下载Windows/Linux版本。在命令行界面创建专用工作目录,建议路径不包含中文或特殊字符。验证openssl版本应不低于3.0.0,可通过openssl version命令检查。
生成主域名私钥文件
通过以下命令创建2048位的RSA私钥,将example.com替换为主域名:
openssl genrsa -out example.com.key 2048建议通过-aes256参数增加私钥加密保护。密钥文件生成后需妥善保管,避免泄露。
创建证书签名请求(CSR)
执行CSR生成命令时需准确填写域名信息:
- 运行
openssl req -new -key example.com.key -out example.com.csr - 在交互界面输入国家代码(CN)、省份、城市信息
- 组织名称填写企业或项目名称
- Common Name必须填写主域名(如:example.com)
生成自签名证书文件
使用X.509标准生成有效期10年的证书:
openssl x509 -req -days 3650 \
-in example.com.csr \
-signkey example.com.key \
-out example.com.crt通过-sha256参数可指定更安全的哈希算法。生成后的证书需包含完整信任链。
服务器证书部署指南
不同Web服务器的配置方式:
- Apache:修改ssl.conf文件指定SSLCertificateFile和SSLCertificateKeyFile路径
- Nginx:在server块添加
ssl_certificate与ssl_certificate_key指令 - IIS:通过MMC控制台导入PFX格式证书
本文详细演示了基于主域名生成自签名SSL证书的全流程,涵盖密钥生成、CSR创建、证书签发等关键步骤。自签名证书适用于测试环境与内网系统,但需注意浏览器安全警告问题。生产环境建议使用受信CA签发证书以保证安全性。
