OpenSSL生成自签名证书及使用

一. OpenSSL生成自签名证书

1. 安装OpenSSL：首先，确保您的系统上安装了OpenSSL。

2. 生成私钥：运行以下命令生成一个私钥文件（例如，private.key）：

openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048

此命令将使用RSA算法生成一个私钥文件。

• private.key：生成的私钥文件
• -pkeyopt rsa_keygen_bits:2048：指定密钥长度为2048（SSL/TLS 协议要求使用安全性较高的密钥长度以确保通信的安全性。一般来说，EE 密钥的推荐长度为2048位或更高）

3. 生成证书请求 (CSR)：使用生成的私钥，运行以下命令生成一个证书请求文件（例如，csr.pem）：

openssl req -new -key private.key -out csr.pem

该命令将提示您提供一些信息，例如组织名称、国家/地区、通用名称等。填写相应的信息并保存文件。

• Country Name (2-letter code) [XX]: 输入国家/地区代码
• State or Province Name (full name) []: 输入州/省的全名
• Locality Name (eg, city) [Default City]: 输入所在城市的名称
• Organization Name (eg, company) [Default Company Ltd]: 输入组织名称
• Organizational Unit Name (eg, section) []: 输入组织单位或部门名称
• Common Name (eg, your name or your server’s hostname) []: 输入通用名称，即与您正在请求证书的域名相对应的主机名，例如 “example.com”
• Email Address []: 输入电子邮件地址

以上信息，如果没有，请留空。

4. 生成自签名证书：使用生成的私钥和证书请求，运行以下命令生成自签名证书（例如，public.crt）：

openssl x509 -req -in csr.pem -signkey private.key -out public.crt -days 365

这将使用私钥对证书请求进行签名，并生成一个自签名证书文件。

• public.crt：生成的自签名证书文件
• -days 365：证书有效时长为365天

二. 使用生成的自签名证书

1. HTTPS 经由 HTTP 进行通信，利用 SSL/TLS 来加密数据包，需要证书支持

2. 在nginx中配置证书文件