本文介绍了如何使用openssl工具创建自签名SSL证书。

什么是自签名SSL证书?

自签名SSL证书是由创建它的人而不是受信任的证书颁发机构签名的证书。自签名证书可以与受信任的CA签名SSL证书具有相同的加密级别。

被任何浏览器识别为有效的自签名证书。如果您使用的是自签名证书,则网络浏览器将向访问者显示警告,提示该网站证书无法验证。

自签名证书主要用于测试目的或内部使用。您不应该在暴露于Internet的生产系统中使用自签名证书。

先决条件

需要使用openssl工具包来生成自签名证书。

要检查Linux系统上是否安装了openssl软件包,请打开终端,输入openssl version,然后按Enter。如果安装了软件包,则系统将打印OpenSSL版本,否则您将看到类似openssl command not found

的内容。

如果您的系统上未安装openssl软件包,则可以通过运行以下命令进行安装:

Ubuntu和Debian

sudo apt install openssl

Centos和Fedora

sudo yum install openssl

创建自签名SSL证书

要创建新的自签名SSL证书,请使用openssl req命令:

openssl req -newkey rsa:4096 \
            -x509 \
            -sha256 \
            -days 3650 \
            -nodes \
            -out example.crt \
            -keyout example.key

让我们分解命令并了解每个选项的含义:

  • -newkey rsa:4096-创建新的证书请求和4096位RSA密钥。默认值为2048位。
  • -x509 -创建X.509证书。
  • -sha256 -使用265位SHA(安全哈希算法)。
  • -days 3650 -认证证书的天数。 3650是10年。您可以使用任何正整数。
  • -nodes -创建没有密码的密钥。
  • -out example.crt -指定将新创建的证书写入的文件名。您可以指定任何文件名。
  • -keyout example.key -指定要写入新创建的私钥的文件名。您可以指定任何文件名。

有关openssl req命令选项的更多信息,请访问 OpenSSL req文档页面。

按下Enter键后,命令将生成私钥,并询问您将用于生成证书的一系列问题。

Generating a RSA private key
......................................................................++++
........++++
writing new private key to 'example.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

输入所需的信息,然后按Enter。

Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Alabama
Locality Name (eg, city) []:Montgomery
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Linuxize
Organizational Unit Name (eg, section) []:Marketing
Common Name (e.g. server FQDN or YOUR name) []:myfreax.com
Email Address []:hello@myfreax.com

将在指定位置创建证书和私钥。使用ls命令验证是否已创建文件:

ls
example.crt example.key

就是这样!您已经生成了一个新的自签名SSL证书。

备份新证书和外部存储密钥始终是一个好主意。

创建无提示的自签名SSL证书

如果要生成自签名SSL证书而没有提示任何问题,请使用-subj选项并指定所有主题信息:

openssl req -newkey rsa:4096 \
            -x509 \
            -sha256 \
            -days 3650 \
            -nodes \
            -out example.crt \
            -keyout example.key \
            -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"
Generating a RSA private key
......................................................................++++
........++++
writing new private key to 'example.key'
-----

-subj行中指定的字段如下:

  • C=-国家/地区名称。 ISO的两个字母缩写。
  • ST= -州或省名。
  • L= -地区名称。您所在的城市的名称。
  • O= -您组织的全名。
  • OU= -组织单位。
  • CN= -完全限定的域名。

结论

在本指南中,我们向您展示了如何使用openssl工具生成自签名SSL证书。有了证书,您就可以配置应用程序以使用它了。

如有任何疑问,请随时发表评论。

你也可以阅读这篇文章,如何使用mkcert在Linux和macOS上创建本地受信任的SSL证书

如果你喜欢我们的内容可以选择在下方二维码中捐赠我们,或者点击广告予以支持,感谢你的支持