一、生成CA根证书
通过OpenSSL工具创建自签名CA根证书,作为信任链的起点:
- 生成CA私钥:
openssl genrsa -out ca.key 2048 - 创建自签名证书:
openssl req -x509 -new -key ca.key -out ca.crt -days 3650,需填写机构名称、国家代码等信息 - 验证证书内容:
openssl x509 -in ca.crt -text -noout
二、创建服务器证书
基于CA证书生成服务端SSL证书:
- 生成服务器私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr,需包含完整域名和SAN扩展 - 签发证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 825
三、配置服务器应用
以Nginx为例配置SSL证书:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
}
Apache需在httpd-ssl.conf中指定SSLCertificateFile和SSLCertificateKeyFile路径
四、信任证书配置
使浏览器信任自签名证书:
- 将
ca.crt导入操作系统信任库 - Windows系统需通过证书管理器安装到”受信任的根证书颁发机构”
- Linux系统执行:
sudo cp ca.crt /usr/local/share/ca-certificates/ && sudo update-ca-certificates
通过建立私有CA体系生成的证书链可实现内网环境可信HTTPS通信,生产环境建议采用Let’s Encrypt等权威机构证书。关键点包括保持证书链完整性、设置合理有效期、配置SAN扩展字段等。
