自己制作SSL证书的方法
1. 介绍
1.1 介绍
如果我们需要一张SSL证书,又不想花钱,又不想麻烦,可以自己制作一个。
自己制作的SSL证书的好处是分分钟搞定,简单,快捷。
缺点是证书不受信任,浏览器会显示不安全。
2. 教程
2.1 创建 server.key 文件
openssl genrsa -des3 -outserver.key10242.2 创建 server.csr 文件
有六项信息必须填写,其中Common Name就是证书的域名不要写错了
命令
openssl req -new-key server.key -outserver.csr -config /etc/pki/tls/openssl.cnf必填项
CountryName(2letter code)[XX]:CNStateorProvinceName(full name)[]:BeijingLocalityName(eg, city)[Default City]:DistricteastOrganizationName(eg, company)[Default Company Ltd]:TONGFU.netOrganizationalUnitName(eg, section)[]:TONGFU.netCommonName(eg, your name or your servers hostname)[]:tongfu.net2.3 创建 ca.crt 和 ca.key 文件
有六项信息必须填写,其中Common Name就是证书的域名不要写错了
命令
openssl req -new-x509 -keyout ca.key -outca.crt -config /etc/pki/tls/openssl.cnf必填项
CountryName(2letter code)[XX]:CNStateorProvinceName(full name)[]:BeijingLocalityName(eg, city)[Default City]:DistricteastOrganizationName(eg, company)[Default Company Ltd]:TONGFU.netOrganizationalUnitName(eg, section)[]:TONGFU.netCommonName(eg, your name or your servers hostname)[]:tongfu.net如果没有文件 /etc/pki/CA/index.txt 就创建一个
touch/etc/pki/CA/index.txt如果没有文件 /etc/pki/CA/serial 就创建一个
echo"00">/etc/pki/CA/serial2.4 创建 server.crt 文件
openssl ca -inserver.csr -outserver.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf最后会生成如下文件
ca.crtca.keyserver.crtserver.csrserver.key2.5 创建免密key文件
创建后使用server.key.unsecure就可以在重启web服务的时候不需要输入密码了
opensslrsa-inserver.key-outserver.key.unsecure3. 总结
通过以上的方法就可以随意制作SSL证书了,通过SSL证书可以给Nginx或者Apache这样的web服务器配置HTTPS访问方式。HTTPS方式传输是加密的,过程传输的数据很难被破解。
不过,由于我们自己制作的证书,我们自己是可以轻松解码的,所以浏览器才会提示不安全了。
https://m.tongfu.net/home/35/blog/512607.html
