一、证书生成基础概念
SSL自签名证书包含三个核心要素:使用强加密算法生成的密钥对、准确的域名绑定信息以及合理的有效期设置。与CA签发证书不同,自签名证书需要手动配置客户端信任,适用于内网测试、开发环境等非公开场景。
二、OpenSSL生成证书步骤
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 生成有效期为10年的证书:
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt - 可选生成PFX格式证书:
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
三、提升证书可信度方法
- 将证书导入操作系统受信任根证书颁发机构
- 使用
mkcert工具自动生成本地可信证书 - 严格匹配证书CN字段与实际访问域名
1. 双击.crt文件
2. 选择"安装证书"
3. 存储位置选择"本地计算机"
4. 选择"将所有证书放入下列存储"并指定受信任根证书颁发机构
四、证书验证与部署
使用openssl x509 -in server.crt -text -noout命令可验证证书详细信息。Nginx服务器部署示例配置:
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
部署后需通过https://domain访问并确认浏览器安全标识。
通过标准工具链生成符合规范的自签名证书,配合有效的信任机制配置,可在非生产环境中实现与CA签发证书等同的加密效果。定期更新密钥对和监控证书有效期是维持安全性的关键措施。
