准备工作与环境要求
生成自签名证书需要安装OpenSSL工具包,支持Windows/Linux/macOS系统。建议使用OpenSSL 1.1.1及以上版本,并准备包含临时域名的SAN扩展信息(如IP:192.168.0.1或DNS:temp.example.com)。
- Windows:通过Win64 OpenSSL安装包部署
- Ubuntu/Debian:
sudo apt install openssl - CentOS:
sudo yum install openssl
三步生成自签名证书
- 生成RSA私钥:
openssl genpkey -algorithm RSA -out temp.key -aes256 - 创建证书请求(CSR):
openssl req -new -key temp.key -out temp.csr(需填写域名信息) - 自签名证书:
openssl x509 -req -in temp.csr -signkey temp.key -out temp.crt -days 30
通过-days参数可设置证书有效期,建议临时证书不超过90天。生成后得到.key私钥和.crt证书文件。
服务器配置示例
以Nginx为例,在配置文件中添加SSL参数:
server {
listen 443 ssl;
ssl_certificate /path/to/temp.crt;
ssl_certificate_key /path/to/temp.key;
}Apache需在ssl.conf中指定SSLCertificateFile和SSLCertificateKeyFile路径。
证书验证与注意事项
通过浏览器访问时会出现安全警告,需手动信任证书。可通过以下命令验证证书信息:
openssl x509 -in temp.crt -text -nooutopenssl verify -CAfile temp.crt temp.crt
临时证书不可用于生产环境,建议配合IP白名单或VPN使用以避免中间人攻击风险。
通过OpenSSL工具链可在5分钟内完成临时域名的证书签发,适用于开发测试、内网服务等场景。建议将生成脚本封装为自动化工具,配合定期更新机制提升管理效率。
