自签名证书生成方法
通过OpenSSL工具可快速生成十年有效期的自签名证书:
- 生成RSA密钥对并加密存储
openssl genrsa -des3 -out server.key 2048 - 解密私钥文件
openssl rsa -in server.key -out server.key - 生成证书签名请求
openssl req -new -key server.key -out server.csr - 签署十年有效期证书
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
JoySSL工具快速签发
通过JoySSL平台可获取永久免费的通配符证书:
- 注册时填写专用码230919获取免费资质
- 添加TXT解析记录完成域名验证
- 下载签发后的证书文件(支持Nginx/Apache等格式)
证书安装与验证
部署完成后需进行安全验证:
- 将server.crt和server.key上传至服务器指定目录
- 配置Nginx:
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key; - 使用SSL Labs测试评分达到A+等级
安全注意事项
长期证书需特别注意:
- 私钥文件必须设置600权限
- 建议使用4096位密钥增强安全性
- 启用HSTS强制HTTPS连接
- 定期检查证书指纹信息
自签名方案适合测试环境快速部署,JoySSL平台则为企业级应用提供符合浏览器信任的长期证书解决方案。两种方法均可突破传统CA机构的时间限制,满足不同场景的安全需求。
