一、工具与环境准备
生成十年有效期的自签名SSL证书需使用OpenSSL工具,建议选择1.1.1以上版本以获得更好的兼容性。对于Windows系统,可安装官方预编译版本或通过WSL运行Linux环境下的OpenSSL。需提前创建专用目录存储密钥和证书文件,避免文件散落。
二、生成十年有效期证书步骤
采用分步式生成流程可提高安全性:
- 生成根证书密钥:
openssl genrsa -des3 -out rootCA.key 4096 - 创建自签名根证书:
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt - 生成服务器私钥:
openssl genrsa -out server.key 2048 - 创建CSR请求文件:
openssl req -new -key server.key -out server.csr - 签署服务器证书:
openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -days 3650 -sha256 -out server.crt
其中-days 3650参数将有效期设置为10年。
三、关键参数与注意事项
配置证书时需特别注意以下技术细节:
- 密钥长度建议≥2048位,根证书推荐4096位
- 签名算法选择SHA-256替代已不安全的SHA-1
- 通配符证书需在CSR中设置
subjectAltName = DNS:*.yourdomain.com - 部署后需将根证书导入系统信任库
| 类型 | 参数 | 有效期 |
|---|---|---|
| 根证书 | -days 3650 | 10年 |
| 服务器证书 | -days 3650 | 10年 |
自签名证书的长期有效性需配合严格的安全管理,建议将根证书私钥存储在加密介质,并定期检查证书状态。虽然浏览器会提示不受信任警告,但在内网环境中配合HSTS策略可强制HTTPS连接。
