十年有效期自签名SSL证书生成指南
准备工作与环境搭建
生成自签名SSL证书需要准备以下工具和环境:
- 安装最新版OpenSSL(建议1.1.1以上版本)
- 创建专用工作目录(建议使用英文路径)
- 准备域名/IP列表(需包含所有需要覆盖的访问地址)
Windows系统推荐将OpenSSL安装到C:\OpenSSL目录,Linux/macOS系统建议通过包管理器安装。
生成CA根证书
通过以下步骤创建可信的证书颁发机构:
# 生成带密码的CA私钥(有效期10年)
openssl genrsa -des3 -out ca/myCA.key 4096
# 创建自签名根证书
openssl req -x509 -new -nodes -key ca/myCA.key
-sha256 -days 7300 -out ca/myCA.crt
注意Common Name字段建议设置为机构名称,密钥长度推荐4096位增强安全性。
创建服务器证书
生成服务器证书需完成以下步骤:
- 生成服务器私钥:
openssl genrsa -out server.key 4096 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 配置SAN扩展文件(包含所有域名/IP)
- 签署证书:
openssl x509 -req -days 3650 -in server.csr
-CA ca/myCA.crt -CAkey ca/myCA.key -CAcreateserial
-extfile san.ext -out server.crt
建议将subjectAltName字段设置为DNS:*.yourdomain.com实现通配符支持。
证书安装与验证
部署前需完成以下验证步骤:
- 使用
openssl x509 -in server.crt -noout -text检查有效期 - 通过
openssl verify -CAfile ca/myCA.crt server.crt验证证书链 - 在客户端设备安装CA根证书(Windows证书管理器或macOS钥匙串)
部署到Nginx/Apache时需同时配置.crt和.key文件,并开启HSTS增强安全性。
