一、自签名证书简介
自签名SSL证书是由开发者自行颁发的数字证书,无需向CA机构付费即可实现本地HTTPS加密通信。其核心包含私钥(.key)和证书文件(.crt),适用于测试环境、内网服务等非生产场景。
二、生成前准备
需安装OpenSSL工具并配置环境变量:
- 访问OpenSSL官网下载Windows版本
- 将安装路径(如C:\OpenSSL\bin)添加到系统Path变量
三、证书生成步骤
通过命令行工具执行以下流程:
- 生成2048位RSA私钥:
openssl genrsa -out server.key 2048 - 创建证书签名请求(CSR):
openssl req -new -key server.key -out server.csr - 签署自签名证书(有效期1年):
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
注意:CN字段需与域名/IP完全匹配以避免浏览器警告。
四、浏览器信任配置
解决浏览器安全警告的两种方法:
- 将CA根证书导入系统受信任列表
- 通过
subjectAltName扩展字段添加多域名/IP支持
本文演示了通过OpenSSL生成自签名SSL证书的标准流程,涵盖环境配置、密钥生成、证书部署等关键环节。虽然自签名证书无法替代商业CA颁发的证书,但能为开发测试提供快速加密解决方案。
