一、准备工作与环境配置
生成十年有效期的SSL证书需要安装OpenSSL工具并创建专用目录。建议将OpenSSL安装至不含空格和中文字符的路径(如C:\OpenSSL32),在bin目录下通过命令行工具执行操作。
mkdir ca mkdir certs
二、生成根证书(CA)
通过以下步骤创建有效期20年的CA证书:
- 生成加密私钥:
openssl genrsa -des3 -out ca/myCA.key 2048 - 创建CA证书:
openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt
注意Common Name字段应填写易于识别的标识(如”My Root CA”),避免使用默认值。
三、创建服务器证书
为一级域名生成服务器证书需完成以下流程:
- 生成服务器私钥:
openssl genrsa -out certs/server.key 2048 - 创建CSR请求文件:
openssl req -new -key certs/server.key -out certs/server.csr - 使用CA签名证书:
openssl x509 -req -in certs/server.csr -CA ca/myCA.crt -CAkey ca/myCA.key -CAcreateserial -out certs/server.crt -days 3650 -sha256
通过-days 3650参数设置10年有效期,建议同时使用SHA-256加密算法。
四、证书安装与验证
将生成的server.crt和server.key部署到Web服务器(如Nginx或Apache),配置文件中需指定证书路径并重启服务生效。浏览器访问时需手动导入CA根证书以避免安全警告。
ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key;
通过OpenSSL生成自签名证书可快速实现长期有效的HTTPS加密,但需注意浏览器兼容性问题。正式生产环境建议采用CA机构签发的可信证书,测试环境可使用该方法降低维护成本。
