一、生成自签名证书
通过OpenSSL工具可快速生成证书,执行以下命令序列:
- 生成私钥:
openssl genpkey -algorithm RSA -out server.key - 创建CSR请求:
openssl req -new -key server.key -out server.csr - 自签名证书:
openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365
建议使用-days参数设置有效期,默认证书生成无需密码保护
二、部署到Web服务器
以Nginx服务器为例配置步骤:
- 将
server.crt和server.key上传至/etc/ssl/目录 - 修改nginx配置文件:
server { listen 443 ssl; ssl_certificate /etc/ssl/server.crt; ssl_certificate_key /etc/ssl/server.key; }
Apache需修改ssl.conf文件并重启服务
三、配置客户端信任
消除浏览器警告需执行以下操作:
- Windows系统:将
.crt文件导入”受信任的根证书颁发机构” - Linux系统:复制证书到
/usr/local/share/ca-certificates/后执行update-ca-certificates
移动设备需通过配置描述文件安装证书
四、安全注意事项
有效控制证书使用范围:
- 证书有效期建议设置为1-2年,及时更新
- 私钥文件需设置600权限,禁止外泄
- 仅在内网或明确访问地址的环境使用
自签名证书通过标准化工具链可快速完成全生命周期管理,适用于开发测试和企业内部系统。核心在于严格管控证书分发范围与客户端信任配置,配合HTTPS强制策略即可实现安全通信
