一、技术准备与环境要求
生成十年有效期的自签名SSL证书需使用OpenSSL工具,推荐使用Linux/macOS系统或Windows子系统环境。需提前执行以下操作:
- 安装最新版OpenSSL(v1.1.1以上)
- 创建专用目录存放密钥与证书文件
- 配置系统时间与证书有效期匹配
二、生成CA根证书
通过以下命令生成有效期为10年的CA根证书:
openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 3650 -out myCA.crt此处-days 3650参数将证书有效期设为10年,密钥强度建议采用2048位RSA算法。
三、创建服务器私钥与证书
按顺序执行以下步骤生成服务器证书:
- 生成私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 使用CA签发证书:
openssl x509 -req -in server.csr -CA myCA.crt -CAkey myCA.key -CAcreateserial -out server.crt -days 3650 -sha256
关键参数说明:-days 3650设置有效期,-sha256指定摘要算法。
四、部署与信任配置
完成证书生成后需执行:
- 将CA根证书(myCA.crt)导入操作系统信任库
- 在Web服务器配置中指定server.crt和server.key路径
- 启用HSTS强制HTTPS连接
注意:自签名证书在浏览器会显示安全警告,需手动添加证书信任。建议仅在内网或测试环境使用。
通过OpenSSL工具链可快速生成长期有效的自签名SSL证书,配合合理的密钥管理和信任配置,能在保证安全性的前提下满足私有环境HTTPS加密需求。建议定期检查私钥存储安全,避免证书泄露风险。
