最近更新时间:2026-05-25 09:48:14 来源:51DNS.COM
在HTTPS加密普及的当下,SSL证书是保障网络通信安全的核心载体,但付费SSL证书成本较高,对于本地测试、内部办公系统等非公开场景,自签SSL证书是性价比极高的替代方案。很多开发者和运维人员不清楚如何快速生成合规可用的自签SSL证书,我将从准备工作、生成流程到部署验证,拆解成清晰的实操步骤,帮你零门槛掌握自签SSL证书的创建方法,满足内部场景的加密需求。
1、确认环境与工具
自签SSL证书的生成依赖OpenSSL工具,Windows、MacOS、Linux系统大多自带该工具,可通过在终端输入“openssl version”命令验证是否安装。若未安装,可通过系统包管理工具或OpenSSL官方网站下载安装,确保工具版本在1.0.2及以上,避免因版本过低导致功能缺失。
2、梳理证书核心信息
生成自签SSL证书需要填写一系列身份信息,包括国家代码、州/省份、城市、组织名称、组织单位、域名、邮箱等。其中域名是核心信息,需与后续部署的网站或系统域名完全一致,若为本地测试可填写“localhost”,内部系统则填写实际访问域名,避免因域名不匹配导致证书验证失败。
1、创建私钥文件
打开终端,进入指定的文件存储目录,执行“openssl genrsa -out server.key 2048”命令生成2048位的RSA私钥。其中“server.key”是私钥文件名,可自定义命名,2048位是兼顾安全与性能的密钥长度,若对安全性要求更高,可改为4096位,但会增加加密解密的耗时。生成后需妥善保管私钥文件,避免泄露导致加密通信被破解。
2、生成证书签署请求
基于已生成的私钥,执行“openssl req -new -key server.key -out server.csr”命令生成证书签署请求文件。执行命令后会依次提示填写之前梳理的核心信息,其中“Common Name”项需填写部署自签SSL证书的域名,其他信息可根据实际情况填写,也可留空直接回车跳过,但建议完整填写以保证证书的规范性。
3、签发自签SSL证书
最后执行“openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt”命令签发自签SSL证书。其中“-days 365”表示证书有效期为365天,可根据需求调整时长,最长建议不超过3年,避免长期使用带来的安全风险。执行完成后,目录下会生成server.crt证书文件,这就是可用的自签SSL证书。
1、本地部署与访问测试
将自签SSL证书与私钥文件部署到Web服务器,如Nginx、Apache,配置文件中指定证书与私钥的存储路径,重启服务器后,通过浏览器访问对应域名。此时浏览器会提示“证书不受信任”,这是自签SSL证书的正常现象,可手动添加信任后继续访问,查看地址栏是否显示锁形图标,确认HTTPS连接是否建立。
2、命令行验证证书信息
通过终端命令可更精准验证自签SSL证书的信息,执行“openssl x509 -in server.crt -noout -text”命令,可查看证书的有效期、域名、颁发者等详细信息,确认与生成时填写的信息一致。还可执行“openssl s_client -connect 域名:443”命令,测试服务器与客户端的SSL连接是否正常,查看返回的证书链与加密套件信息。
1、明确使用场景限制
自签SSL证书未经过第三方权威机构验证,仅适合本地开发测试、内部办公系统、局域网服务等非公开场景,绝对不能用于面向公众的互联网网站,否则会导致用户信任度下降,甚至被浏览器标记为危险网站。
2、做好证书的生命周期管理
自签SSL证书有固定的有效期,需提前设置到期提醒,在证书过期前重新生成并部署,避免因证书过期导致系统加密通信中断。同时要定期更新私钥,建议每年更换一次私钥,降低私钥泄露带来的安全风险,更换私钥时需同步重新生成自签SSL证书。