一、环境准备与工具安装
生成自签名SSL证书需要安装OpenSSL工具。建议下载最新稳定版本并配置系统环境变量,Windows用户可选择安装到无空格路径(如C:\OpenSSL32\bin)。Linux/macOS系统通常已预装,可通过终端验证版本:
openssl version二、生成私钥与CSR文件
通过以下步骤创建加密私钥和证书请求文件:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR):
openssl req -new -key server.key -out server.csr
需填写国家、地区、组织名称,Common Name必须与域名一致
三、创建自签名SSL证书
使用X.509标准生成有效期10年的证书:
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crtWindows用户可通过PowerShell快速生成:New-SelfSignedCertificate -DnsName "yourdomain.com" -CertStoreLocation cert:\LocalMachine\My
四、安装与配置指南
不同Web服务器的配置方式:
- Apache:在httpd.conf中指定SSLCertificateFile和SSLCertificateKeyFile路径
- Nginx:在server块配置ssl_certificate和ssl_certificate_key参数
- IIS:通过MMC控制台导入PFX格式证书
五、注意事项与局限性
自签名证书存在以下限制:
- 浏览器会显示安全警告,需手动添加信任
- 缺乏证书吊销机制,密钥泄露后无法快速失效
- 建议仅用于测试环境,生产环境应使用CA机构签发证书
通过OpenSSL或系统工具生成自签名SSL证书,可实现快速HTTPS部署。该方法成本低且流程简单,但需注意安全警告提示和适用场景限制,企业级应用建议采购可信CA证书提升安全性。
