一、准备工具与环境
生成自签名SSL证书需要以下核心组件:
- OpenSSL 工具包(1.1.1及以上版本)
- Linux/macOS 终端或 Windows PowerShell
- 专用证书存储目录(建议创建/ca和/certs子目录)
二、生成根证书(CA)
通过以下步骤创建证书颁发机构:
- 生成CA私钥:
openssl genrsa -des3 -out ca/myCA.key 2048 - 创建CA证书(有效期20年):
openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt - Common Name建议设置为可识别的根证书标识
三、生成服务器证书
生成终端实体证书的关键流程:
- 创建服务器私钥:
openssl genrsa -out certs/server.key 2048 - 生成CSR请求文件:
openssl req -new -key certs/server.key -out certs/server.csr - 创建包含SAN的扩展配置文件(支持多域名/IP)
- 使用CA签署证书:
openssl x509 -req -in certs/server.csr -CA ca/myCA.crt -CAkey ca/myCA.key -CAcreateserial -out certs/server.crt -days 365 -sha256
四、证书部署与验证
部署时需注意:
- Web服务器需同时加载.crt证书文件和.key私钥文件
- 客户端需安装CA根证书以实现信任链验证
- 使用
openssl verify -CAfile ca/myCA.crt certs/server.crt验证证书链
五、跨平台注意事项
Windows系统可采用两种方式:
- OpenSSL流程与Linux相同,需注意环境变量配置
- PowerShell命令:
New-SelfSignedCertificate -DnsName "yourserver.com" -CertStoreLocation "cert:\LocalMachine\My"
自签名证书适用于内部测试和开发环境,通过合理设置有效期(建议1-5年)、启用SAN扩展、严格保管私钥文件,可显著提升证书安全性。生产环境仍建议使用受信CA签发证书。
