标签 https证书自签 下的文章

自签HTTPS证书是一种不通过证书颁发机构(CA)签发的证书,适用于测试和内部使用。以下是在不同环境下生成自签名证书的详细步骤:

1. 使用OpenSSL生成自签名证书

OpenSSL是一个强大的开源工具包,用于实现安全套接字层(SSL)和传输层安全(TLS)协议的功能。以下是在CentOS 7.x系统上生成自签名证书的详细步骤:

  1. 安装OpenSSL

    yum install openssl -y
  2. 生成带密码的私有密钥

    openssl genrsa -des3 -out server.key -rand 0x1000000000000000000

    执行上述命令后,系统会提示你输入一个密码。

  3. 移除密码保护

    openssl rsa -in server.key -out server-nopass.key

    在提示要求输入的地方输入刚才的密码,回车。

  4. 生成自签名证书

    openssl req -new -x509 -key server-nopass.key -out server.crt -days 3650

    在执行该命令时,系统会要求你输入一些证书信息,如国家、省份、城市等。这些信息可以根据实际情况填写,或留空使用默认值。

  5. 生成证书签名请求(CSR)

    openssl req -new -key server-nopass.key -out server.csr
  6. 生成完整的签名证书

    openssl x509 -req -days 3650 -in server.csr -CA server.crt -CAkey server-nopass.key -CAcreateserial -out server.crt
  7. 生成PFX格式证书

    openssl pkcs12 -export -out server.pfx -in server.crt -inkey server-nopass.key

    系统会提示你输入一个密码,这里可以直接留空。

  8. 转换PFX证书为PEM格式

    cat server.crt server-nopass.key > server.pem

通过上述步骤,你已经成功在CentOS 7.x系统上生成了一个自签名的HTTPS证书,可以用于本地测试或内部网络的安全通信。在生产环境中,建议使用由受信任的CA签发的证书以确保最高级别的安全性。

2. 使用mkcert生成自签名证书

mkcert是一个专门用于生成本地受信任的SSL/TLS证书的开源工具。它旨在简化本地开发环境中SSL证书的创建和管理过程,提高开发效率,并确保数据的安全性。以下是使用mkcert生成自签名证书的步骤:

  1. 下载mkcert
    访问mkcert的GitHub页面(https://github.com/FiloSottile/mkcert),下载适合你操作系统的预编译版本。
  2. 安装mkcert
    将下载的mkcert二进制文件移动到系统的执行路径中,如Windows的C:\Windows\System32或Linux和macOS的/usr/local/bin
  3. 安装本地CA证书
    在终端或命令提示符中运行mkcert -install命令,以安装本地CA证书到系统信任存储。
    macOS系统也可以使用以下命令安装:

    brew install mkcert
    brew install nss # if you use Firefox

    这个命令会在你的系统信任存储中安装一个本地CA证书,mkcert生成的所有证书都会被信任。

  4. 生成证书和私钥
    使用mkcert命令后跟你希望生成证书的域名或IP地址,例如:

    mkcert example.com localhost 127.0.0.1

    即可生成证书和私钥。生成的文件包括证书文件(如example.com+1.pem)和私钥文件(如example.com+1-key.pem)。

  5. 配置Nginx
    生成证书后,也可以将它配置到你的Web服务器(如Nginx)上,来实现HTTPS访问。配置示例如下:

    server {
        listen 443 ssl;
        server_name example.com;
        ssl_certificate /path/to/example.com+1.pem; # 证书文件路径
        ssl_certificate_key /path/to/example.com+1-key.pem; # 私钥文件路径
    }

    配置完成后,重启Nginx,即可通过HTTPS安全访问你的本地站点。

mkcert主要用于本地开发环境,帮助开发者轻松创建HTTPS连接,而无需公开暴露证书或依赖公共CAs。它特别适用于以下场景:

  • 本地Web开发:开发者可以使用mkcert生成的本地受信任证书来测试HTTPS连接,而无需担心浏览器的信任警告。
  • API测试:在测试API时,可以使用mkcert生成的证书来模拟HTTPS请求和响应。
  • 物联网开发:对于需要安全通信的物联网设备,mkcert可以生成设备所需的SSL/TLS证书。

请注意,不要在生产环境中使用mkcert生成的自签名证书,因为它们不会被公共浏览器信任。在生产环境中,应使用由受信任的证书颁发机构签发的证书。此外,mkcert生成的证书通常具有较短的有效期(如365天),以确保证书的安全性。开发者需要定期更新证书。