OpenSSL如何生成SSL证书
虽然网站通常使用权威CA颁发的证书,但在开发、测试或内部系统中,使用OpenSSL自行生成证书不仅经济实惠,还能帮助开发者深入理解HTTPS的工作原理。OpenSSL是一个功能强大的开源工具包,掌握它生成证书的技能,对于系统管理员、开发人员和安全工程师都至关重要,本文将带大家了解OpenSSL生成SSL证书的步骤。
一、生成SSL证书前的准备
1、安装OpenSSL
大多数Linux系统已预装OpenSSL。检查版本:
openssl version
2、了解SSL证书文件
私钥(Private Key):保密文件,用于解密数据或签名
证书签名请求(CSR):包含公钥和申请信息的文件,发送给CA
二、生成SSL证书的方法
方法一:快速生成
使用单个命令生成自签名证书:
openssl req-x509-newkey rsa:2048-keyout server.key-out server.crt-days 365-nodes
系统会提示输入国家、组织、通用名等信息。添加`-subj`参数可跳过交互:
openssl req-x509-newkey rsa:2048-keyout server.key-out server.crt-days 365-nodes-subj”/C=CN/ST=Beijing/L=Beijing/O=MyCompany/CN=localhost”
方法二:分步骤生成
1、先生成私钥:
#生成2048位RSA私钥
openssl genrsa-out server.key 2048
#更强的4096位密钥(安全性更高,但性能略低)
openssl genrsa-out server.key 4096
2、创建证书签名请求(CSR)
openssl req-new-key server.key-out server.csr
系统会交互式询问证书信息,其中”Common Name”最为重要,应填写域名或IP地址。
3、自签名生成证书
openssl x509-req-days 365-in server.csr-signkey server.key-out server.crt
掌握OpenSSL生成SSL证书的技能,不仅可以帮助你在开发测试中快速部署HTTPS,还能深化对公钥基础设施的理解,从基础的自签名证书到复杂的私有CA搭建,OpenSSL提供了完整而强大的解决方案。
相关推荐:《自己生成的网站安全证书有用吗》
SSL证书品牌
-
DigiCert是全球顶尖级SSL数字证书提供商,服务于全球一百四十多个国家和地区,是名副其实的行业领导者。旗下拥有 DigiCert,Symantec,Geotrust,Thawte,RapidSSL等SSL证书品牌。
-
GeoTrust是全球第二大数字证书颁发机构,是一款优质的、高性价比的SSL证书品牌,SSL证书类型丰富,且完美支持中文域名和显示中文名称。服务范围超过150多个国家,拥有客户超过10W。
-
Sectigo(原Comodo CA)成立于1998年,是全球优秀的网络安全服务提供商和SSL证书服务商之一,其提供的SSL证书类型丰富且价格亲民,能完美的为网站和企业提供各个类型的数字证书安全解决方案。
-
GlobalSign1996年起开始颁发可信赖的SSL数字证书,是一家声誉卓越、备受信赖的SSL数字提供商,是信息安全领域的佼佼者、公众信任服务行业的领头羊。旗下拥有GlobalSign、AlphaSSL等SSL证书品牌。
-
Thawte是全球第三大数字证书颁发机构,其产品占据了全球SSL数字证书市场的40%,它是全球最早支持IDN国际语言域名的数字证书品牌,使用中文域名网站的中国用户也可以部署SSL证书来确保信息安全。
-
RapidSSL是入门级便宜SSL证书品牌,目前属于Digicert的子品牌,其根证书为Digicert,只有两款DV证书产品,相对Digicert其他子品牌的DV证书,价格便宜很多,非常适合小型网站和个人用户申请安装。
相关文章
