一、环境准备与工具安装
生成SSL证书需要以下基础环境:OpenSSL 1.0.2+、Nginx 1.12+或Apache服务器。Windows系统建议将OpenSSL安装至无空格和中文的路径(如C:\OpenSSL32\bin),Linux系统可通过包管理器直接安装。
二、生成CA根证书
执行以下步骤创建自签名根证书:
- 创建CA配置文件(ca.conf),指定国家、省份等参数
- 生成CA私钥:
openssl genrsa -des3 -out ca.key 2048 - 生成CA根证书:
openssl req -x509 -new -key ca.key -sha256 -days 7300 -out ca.crt
三、创建服务器密钥与CSR
为服务器生成密钥对和证书签名请求:
- 生成私钥:
openssl genrsa -out server.key 2048 - 创建CSR文件:
openssl req -new -key server.key -out server.csr(需填写域名、组织信息)
四、签发SSL证书
使用CA证书签署服务器请求:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -sha256 -out server.crt该命令将生成有效期为1年的服务器证书。
五、Nginx部署配置
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
# 其他SSL参数配置...
}完成配置后执行nginx -s reload生效。
本教程详细演示了自签名SSL证书的完整生命周期管理,适用于测试环境。生产环境建议采用Let’s Encrypt等CA颁发的可信证书。
