基础生成步骤
- 生成2048位RSA私钥:
openssl genrsa -out domain.key 2048 - 创建包含域名信息的CSR文件(需交互输入CN字段为域名):
openssl req -new -key domain.key -out domain.csr - 生成有效期365天的自签名证书:
openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt
高级配置技巧
为满足现代浏览器要求,建议:
- 创建独立CA根证书并签署服务器证书,提升内部信任度
- 在证书中配置SubjectAltName扩展,支持多域名和IP地址:
subjectAltName = DNS:example.com, IP:192.168.1.1
证书验证与部署
验证证书有效性:
openssl x509 -in domain.crt -text -noout部署到Nginx服务器的示例配置:
server {
listen 443 ssl;
ssl_certificate /path/domain.crt;
ssl_certificate_key /path/domain.key;
}结论与建议
自签名证书适合测试环境及内部系统,但需注意浏览器安全警告。生产环境建议采用CA签发证书。定期更新密钥(推荐每年轮换)并设置强密码保护私钥文件。
