利用Openssl制作自簽名證書的過程如下:
前期準(zhǔn)備
-
安裝OpenSSL: 確保您的系統(tǒng)已安裝OpenSSL。大部分Linux發(fā)行版以及macos自帶OpenSSL,而Windows用戶可以從OpenSSL官方網(wǎng)站下載并安裝。
-
生成私鑰: 執(zhí)行以下命令生成RSA私鑰:
openssl genpkey -algorithm RSA -out private.key -aes256
此處采用AES-256加密保護私鑰,private.key是生成的私鑰文件名稱。
制作自簽名證書
-
創(chuàng)建證書簽名請求(CSR): 盡管自簽名證書無需CSR,但您可以先創(chuàng)建一個以備后續(xù)使用:
openssl req -new -key private.key -out certificate.csr
在提示輸入詳細(xì)信息時,可隨意填寫,因為這些信息不會經(jīng)過驗證。
-
生成自簽名證書: 使用以下命令生成自簽名證書:
openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt
其中:
- -req 表示使用CSR。
- -days 365 表示證書有效期為365天。
- -in certificate.csr 指定輸入的CSR文件。
- -signkey private.key 指定用于簽名的私鑰。
- -out certificate.crt 指定輸出的證書文件名稱。
核驗證書
可以通過以下命令核對證書是否正確生成:
openssl x509 -noout -text -in certificate.crt
應(yīng)用證書
將生成的certificate.crt和private.key文件應(yīng)用于您的應(yīng)用程序或服務(wù)中。例如,在Web服務(wù)器上配置https時,需要將這兩個文件分別指定為SSL證書和私鑰。
注意事項
- 自簽名證書未被瀏覽器或操作系統(tǒng)默認(rèn)信任,因此在客戶端連接時可能會收到安全警告。
- 若要他人信任您的證書,請考慮通過受信任的證書頒發(fā)機構(gòu)(CA)來簽發(fā)證書。
按照上述步驟,您就能成功創(chuàng)建一個自簽名證書。
