如何自己生成SSL证书？详细步骤与注意事项

在网站运维与开发的过程中，SSL证书可以起到保障数据传输安全的作用，而在一些测试环境或内部系统中，使用付费SSL证书需要验证域名所有权并支付一定的费用，而自己生成SSL证书会更加便捷，也能节约成本，下文将为大家介绍使用OpenSSL工具如何自己生成SSL证书和一些注意事项。

　一、安装OpenSSL

OpenSSL是自己生成SSL证书的重要工具之一，几乎所有的Linux发行版、macOS甚至Windows都是默认包含的，可以使用下面的命令来检查是否已经安装：

openssl version

如果未安装，在Ubuntu/Debian上可使用sudo apt install openssl，CentOS/RHEL用sudo yum install openssl，macOS用户可用Homebrew安装：brew install openssl。

　二、自己生成SSL证书的方式

1）生成自签名证书

可以执行以下命令，系统会提示输入一些证书信息，如国家、组织、域名等，最终会生成一个包含了私钥和证书的PEM文件：

openssl req-x509-newkey rsa:2048-keyout server.key-out server.crt-days 365

参数说明：

-x509：直接生成自签名证书，而非证书签名请求（CSR）。

-newkey rsa:2048：新建2048位RSA私钥。

-keyout：私钥保存路径。

-out：证书保存路径。

-days：有效期，单位天。

2）分步生成

第一步：生成私钥

openssl genrsa-out server.key 2048

第二步：生成证书签名请求（CSR）

openssl req-new-key server.key-out server.csr

此步骤会交互式填写证书信息，其中“Common Name”必须填写你的域名或IP地址。

第三步：生成自签名证书

openssl x509-req-days 365-in server.csr-signkey server.key-out server.crt

　三、验证自己生成的证书

使用以下命令查看证书内容：

openssl x509-in server.crt-text-noout

重点关注“Subject”和“Subject Alternative Name”是否包含正确的域名，以及有效期是否符合预期。

　四、自己生成SSL证书的注意事项

1、自签名证书虽然默认无吊销机制，但建议每隔一年重新生成一次；

2、Chrome、Firefox等浏览器可能还是会对自签名证书发出安全警告，可以将证书导入系统受信任根证书列表来临时解决这一问题，但仅适用于个人设备之中；

3、对于任何正式上线的网站，建议大家使用由正规CA机构签发的付费SSL证书，保证网站的安全性。

自己生成SSL证书可以通过OpenSSL来解决，在几分钟内就可以创建适用于开发、测试环境的自签名证书，虽然自签名证书无法替代受信任CA签发的付费SSL证书，但在一些特殊环境下也能够为大家提供低成本、高效率的加密方案。

相关推荐：《免费SSL证书永久生成可靠吗？你必须了解这些》