密钥对生成规范
生成RSA私钥是创建SSL证书的基础步骤,建议使用2048位以上加密强度确保安全性。通过OpenSSL工具执行以下命令生成密钥:
openssl genrsa -des3 -out server.key 2048注意参数-des3会要求设置密码,增强私钥文件的安全性。若需无密码密钥,可后续使用openssl rsa命令移除密码保护。
证书签名请求配置
创建CSR文件时需准确填写证书主体信息,关键字段包括:
- Common Name:必须与域名完全匹配,否则触发浏览器警告
- 组织信息:建议使用英文标识企业名称
- 扩展配置:通过附加文件定义
subjectAltName支持多域名
生成CSR的标准命令为:
openssl req -new -key server.key -out server.csr自签名证书签发
使用私钥直接签发证书时,需注意有效期设置。推荐命令包含以下参数:
-days 3650:设置十年有效期-x509:生成X509格式证书-sha256:指定更安全的哈希算法
完整签发命令示例:
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt安全配置建议
为提高自签名证书安全性,建议采取以下措施:
- 密钥文件设置600权限,防止未授权访问
- 定期更换密钥对,建议每2年轮换一次
- 在测试环境使用,生产环境建议申请CA签名证书
服务器部署实践
Nginx服务器配置示例:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
}部署后需在客户端手动安装证书,消除浏览器安全警告。
自签名SSL证书的生成需严格遵循密钥管理规范,特别注意域名匹配、加密强度和有效期设置。虽然适合内部测试环境,但商业场景仍推荐使用权威CA签发的证书以保证兼容性和可信度。
