目录导航
生成加密证书的通用步骤
生成加密证书的核心流程包括以下步骤,适用于Windows和Linux系统:
- 安装OpenSSL工具:用于生成私钥和证书的核心组件
- 创建私钥文件:使用
openssl genrsa命令生成2048位RSA密钥 - 生成证书签名请求(CSR):通过
openssl req命令提交机构认证信息 - 创建自签名证书:使用
-x509参数生成有效期365天的本地证书
Windows系统安装与配置
在Windows环境生成证书需要完成以下操作:
- 从OpenSSL官网下载Windows安装包并配置环境变量
- 通过PowerShell执行命令生成证书:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -out localhost.crt - 在Nginx配置文件中指定证书路径:
server { listen 443 ssl; ssl_certificate C:/cert/localhost.crt; ssl_certificate_key C:/cert/localhost.key; }Nginx SSL配置示例
Linux系统安装与配置
Linux系统通过终端完成以下部署:
- 使用
sudo apt-get install openssl安装依赖包 - 生成密钥时需注意权限设置,建议使用
chmod 600保护私钥文件 - 通过Let’s Encrypt获取免费证书时,需使用
certbot工具自动更新证书 - 修改Apache/Nginx配置后需重启服务:
systemctl restart nginx
常见问题与验证
部署完成后需进行验证:
- 使用浏览器访问
https://localhost检查证书有效性 - 通过
openssl x509 -in certificate.crt -text -noout查看证书详细信息 - 证书链不完整时可追加CA Bundle文件到证书末端
生成加密证书需注意私钥保密性,自签名证书仅适用于测试环境。生产环境建议向可信CA机构申请证书,并通过自动化工具管理证书续期。不同系统的主要差异在于OpenSSL安装方式和配置文件路径,核心加密原理与操作命令保持高度一致。
