1. 生成自签名证书
使用 OpenSSL 工具生成私钥和自签名证书,步骤如下:
- 生成 2048 位 RSA 私钥:
openssl genrsa -out server.key 2048 - 创建证书请求文件:
openssl req -new -key server.key -out server.csr,需填写国家、省份、组织等信息 - 生成有效期 365 天的证书:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
2. 配置服务器证书
将生成的证书部署到服务器(以 Nginx 为例):
- 将
server.key和server.crt文件保存至服务器目录(如/etc/nginx/ssl/) - 修改 Nginx 配置文件,添加以下内容:
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key; - 重启 Nginx 服务使配置生效
3. 添加证书到信任列表
在客户端操作系统中添加证书信任:
- 按 Win+R 运行
mmc,添加证书管理单元 - 右键导入证书,选择“受信任的根证书颁发机构”存储位置
Java 环境需将证书导入信任库:keytool -import -alias mycert -keystore cacerts -file server.crt
4. 验证证书有效性
使用浏览器访问 HTTPS 地址,确认无安全警告。通过命令行工具验证:curl -v https://your-domain.com,检查 SSL 握手状态
通过生成自签名证书、配置服务器并添加至系统信任列表,可实现安全的 HTTPS 通信。需注意证书有效期及客户端兼容性问题,建议生产环境使用权威机构签发的证书
