生成RSA私钥
使用OpenSSL工具生成RSA私钥是SSL证书生成流程的第一步。通过以下命令可创建2048位加密强度的私钥:
openssl genrsa -out private.key 2048若需加密私钥文件,可添加-aes256参数并设置密码保护,例如:
openssl genrsa -aes256 -passout pass:yourpassword -out private.key 2048创建证书签名请求(CSR)
基于生成的私钥创建证书签名请求文件,该文件包含组织信息和公钥:
- 执行命令:
openssl req -new -key private.key -out cert.csr - 按提示输入国家代码、组织名称等元数据
- 特别注意Common Name字段需填写完整域名
生成自签名证书
在测试环境中可直接生成自签名证书:
openssl req -x509 -sha256 -days 365 -key private.key -in cert.csr -out cert.crt该命令将生成有效期1年的证书,通过以下命令验证证书内容:
openssl x509 -in cert.crt -text -noout技术规范与最佳实践
- 密钥长度应≥2048位以保证安全性
- 私钥文件权限设置为600:
chmod 600 private.key - 生产环境推荐使用CA机构签发证书
- 定期轮换密钥(建议每年更新)
通过OpenSSL工具链可完成RSA密钥对生成、CSR创建及证书签发全流程。自签名证书适用于开发测试环境,而正式生产环境建议采用权威CA机构颁发的证书以建立可信身份认证。
