openssl生成https证书的相关教程

使用openssl生成https证书一般生成的是自签名证书，比较适合本地开发测试环境中使用，需要自己去手动生成和部署服务器，在安信证书等正规服务商处申请https证书可获得免费的安装服务，比较适合技术新手。下文将为大家介绍openssl生成https证书的相关教程。

　一、openssl生成https证书方法

如果只在localhost或内网调试，自签名证书最快，两步生成：

1、一条命令同时生成私钥与证书

按提示输入两天信息即可生成有效期为3650天（约10年）的.crt和.key文件：

openssl req-x509-newkey rsa:2048-keyout private.key-out server.crt-days 3650-nodes

req-x509：生成自签名证书。

-newkey rsa:2048：创建2048位高强度RSA私钥。

-days：自定义有效期。

-nodes：不加密私钥（测试推荐，免除每次重启输入密码）。

2、部署到Web服务器

Nginx配置：将server.crt和private.key上传至服务器（如/etc/nginx/ssl/目录），修改站点配置文件，添加443端口监听并指定证书路径，最后执行nginx-t测试语法无误后重载配置。

Apache配置：启用SSL模块后，编辑站点配置文件，指定SSLEngine on以及SSLCertificateFile和SSLCertificateKeyFile的路径，重启服务生效。

　二、openssl生成https证书的局限性

1、因缺乏浏览器信任，Firefox、Chrome等会弹出“您的连接不是私密连接”等错误警告，超过一大半的访客都会选择直接关闭页面；

2、自签名证书无法开启HTTP/2，部分系统API禁用，而且PCI-DSS、等保测评都不允许使用自签名证书。

openssl生成https证书需要一定的技术知识，安信证书提供全球数十家知名品牌的https证书，价格便宜，且有免费安装指导、无限次重签以及到期提醒等服务，如速安信DV单域名证书仅需158元/年，DV通配符证书仅需880元/年。对于中小型企业来说，每年用百元的成本来替代自签名证书，可以节省开发运维的精力、提高网站的安全性。

相关推荐：《OpenSSL生成CSR文件的方法》