openssl 如何生成自签证书

文章摘要

本文介绍了使用OpenSSL创建自签名SSL证书的步骤。首先，需要创建一个OpenSSL配置文件（openssl.cnf）并填入相应的信息，包括国家名、省份、城市、组织单位名和通用名（域名或服务器主机名）。配置文件中还定义了证书的扩展信息，例如密钥用法和主题备用名。

1. 创建 OpenSSL 配置文件

用户首先需要创建一个名为 "certs" 的目录，然后在该目录下创建openssl.cnf配置文件。该文件包含了证书的申请者信息，如国家、省份、城市、组织单位和通用名称。此外，配置文件中还设置了证书请求的扩展属性，比如密钥用途和备用域名。

2. 生成证书私钥

接着使用OpenSSL的genrsa命令生成一个2048位的RSA私钥文件ca.key。此步骤可选择性地使用-des3来加密密钥，但如果这样做，之后使用该密钥时会需要一个密码。

3. 生成证书请求文件(CSR)

然后，需要使用req命令生成一个证书签名请求文件(ca.csr)，这需要用到之前生成的私钥文件(ca.key)和配置文件(openssl.cnf)。这个请求文件包含申请证书的基本信息，用于提交给证书颁发机构。

4. 生成证书

最后，通过x509命令用私钥文件签发生成一个证书文件(ca.crt)，该证书有效期为3650天。X.509证书有两种格式，PEM是文本格式，DER是二进制格式，不同的服务器系统偏好不同的格式。

文章最后鼓励读者点赞和关注，表达了作者对读者的感激。