工具准备与环境配置
生成自签名SSL证书需要以下基础环境准备:
- 安装最新版OpenSSL工具包(推荐v1.1.1以上版本)
- 创建专用证书存储目录(如
/ssl_cert)避免文件混乱 - 配置系统PATH环境变量包含OpenSSL执行路径
生成自签名证书核心步骤
通过OpenSSL命令行工具执行以下操作流程:
- 生成RSA私钥文件
openssl genrsa -des3 -out server.key 2048需设置至少4位密码保护私钥
- 创建证书签名请求(CSR)
openssl req -new -key server.key -out server.csr需填写机构/域名等身份信息
- 生成自签名证书
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt默认生成有效期1年的证书
高级配置与优化建议
生产环境推荐进行以下优化配置:
- 移除私钥密码保护以提高服务启动效率
- 延长证书有效期至10年:
-days 3650 - 生成PFX格式证书包方便IIS等系统使用
| 扩展名 | 用途 |
|---|---|
| .key | 服务器私钥文件 |
| .csr | 证书签名请求文件 |
| .crt | 已签名证书文件 |
通过标准OpenSSL工具链可快速创建适用于开发测试环境的SSL证书,但需注意自签名证书存在浏览器警告问题,正式生产环境建议使用权威CA签发证书。合理设置证书有效期与密钥长度(推荐2048位以上)能有效平衡安全性与维护成本。
