生成私钥文件
使用OpenSSL工具生成RSA私钥是创建SSL证书的第一步。建议使用2048位或更高强度的密钥以提高安全性。执行以下命令生成带密码保护的私钥文件:
openssl genrsa -des3 -out server.key 2048此命令将创建包含三重DES加密的server.key文件,系统会提示设置密码短语。
创建证书签名请求(CSR)
使用私钥生成证书签名请求时需要包含以下信息:
- 国家代码(CN/US等)
- 组织名称(O)
- 通用名称(必须与域名完全一致)
openssl req -new -key server.key -out server.csr生成的CSR文件需提交给CA进行验证,该文件包含公钥和身份认证信息。
自签名SSL证书
测试环境可通过自签名快速生成证书,执行以下命令生成有效期365天的证书:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt注意浏览器会提示自签名证书的安全警告,此方式仅建议用于开发测试环境。
通过CA申请正式证书
生产环境应选择可信CA机构签发证书,基本流程包括:
- 向CA提交CSR文件
- 完成域名所有权验证(DNS记录/文件验证)
- 下载签发的证书文件(.crt/.pem)
获得证书后需将私钥文件与证书文件共同部署到服务器,并配置HTTPS监听端口。
SSL证书生成流程包含密钥创建、CSR生成、证书签发三个核心阶段。开发环境可使用自签名证书快速搭建HTTPS服务,生产环境必须通过权威CA机构获取可信证书。关键操作应妥善保管私钥文件,建议定期更新证书以保障安全性。
