【经验篇】自签名TLS证书生成

于 2025-06-12 19:14:36 发布
阅读量1k 收藏 3
点赞数 23
CC 4.0 BY-SA版权
分类专栏: Linux 运维进阶必备【案例分享】 文章标签: chrome 前端 tls https证书 自签名证书 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cui_win/article/details/148616635

目录

生成自签名证书

自签名证书是一种由组织或个人自行颁发的数字证书,无需通过第三方证书颁发机构(CA)。虽然自签名证书在生产环境中通常不被浏览器信任,但在开发、测试、内部系统或特定场景下非常有用。下面介绍几种常见的生成自签名证书的方法。

使用OpenSSL生成自签名证书

生成RSA密钥和自签名证书

# 生成私钥
openssl genrsa -out private.key 2048

# 生成证书签名请求(CSR)交互方式的
openssl req -new -key private.key -out certificate.csr

# 自签名证书(有效期1年)
openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt

# 合并证书和私钥(可选,某些应用需要)
cat certificate.crt private.key > certificate.pem

一步生成自签名证书

# 一步生成私钥和自签名证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

# 跳过交互式问答(使用-subj参数)
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Your Organization/OU=IT Department/CN=yourdomain.com"

生成带SAN(Subject Alternative Name)的证书

# 创建SAN配置文件(san.cnf)
cat > san.cnf << EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = Beijing
L = Beijing
O = Your Organization
OU = IT Department
CN = yourdomain.com

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = yourdomain.com
DNS.2 = www.yourdomain.com
IP.1 = 192.168.1.1
EOF

# 使用配置文件生成证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -config san.cnf

使用keytool生成自签名证书

生成Java密钥库(JKS)格式的自签名证书

# 生成自签名证书并存储在JKS密钥库中
keytool -genkeypair -alias mydomain -keyalg RSA -keysize 2048 -storetype JKS \
  -keystore keystore.jks -validity 365 \
  -dname "CN=yourdomain.com, OU=IT, O=Your Organization, L=Beijing, ST=Beijing, C=CN"

# 导出证书(可选)
keytool -exportcert -alias mydomain -keystore keystore.jks -file certificate.crt

生成PKCS12格式的自签名证书

# 生成PKCS12格式的密钥库
keytool -genkeypair -alias mydomain -keyalg RSA -keysize 2048 -storetype PKCS12 \
  -keystore keystore.p12 -validity 365 \
  -dname "CN=yourdomain.com, OU=IT, O=Your Organization, L=Beijing, ST=Beijing, C=CN"

使用mkcert生成受信任的自签名证书

安装mkcert

# macOS
brew install mkcert
brew install nss # 如果使用Firefox

# Linux
sudo apt install libnss3-tools
curl -JLO "https://dl.filippo.io/mkcert/latest?for=linux/amd64"
chmod +x mkcert-v*-linux-amd64
sudo cp mkcert-v*-linux-amd64 /usr/local/bin/mkcert

# Windows
choco install mkcert

生成受信任的自签名证书

# 安装本地CA(只需执行一次)
mkcert -install

# 生成证书(支持多域名和IP)
mkcert yourdomain.com *.yourdomain.com 127.0.0.1 ::1

# 输出:
# Created a new certificate valid for the following names
#  - "yourdomain.com"
#  - "*.yourdomain.com"
#  - "127.0.0.1"
#  - "::1"

# 证书文件:
# "yourdomain.com+3.pem"
# "yourdomain.com+3-key.pem"

使用Cloudflare CFSSL生成自签名证书

安装CFSSL

# macOS
brew install cfssl

# Linux
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64 -o cfssl
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64 -o cfssljson
chmod +x cfssl cfssljson
sudo mv cfssl cfssljson /usr/local/bin/

生成自签名证书

# 创建证书配置文件(csr.json)
cat > csr.json << EOF
{
  "CN": "yourdomain.com",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Your Organization",
      "OU": "IT Department"
    }
  ],
  "hosts": [
    "yourdomain.com",
    "www.yourdomain.com",
    "192.168.1.1"
  ]
}
EOF

# 生成证书
cfssl genkey -initca csr.json | cfssljson -bare ca

# 自签名证书
cfssl sign -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server csr.json | cfssljson -bare server

生成特定格式的证书

生成PFX/P12格式证书(Windows友好格式)

# 从现有证书和私钥转换
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt

# 直接生成PFX格式
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in cert.pem

生成DER格式证书(二进制格式)

# 将PEM转换为DER
openssl x509 -outform der -in certificate.crt -out certificate.der

验证生成的证书

# 查看证书信息
openssl x509 -noout -text -in certificate.crt

# 验证证书有效性
openssl verify certificate.crt

# 验证私钥与证书匹配
openssl rsa -noout -modulus -in private.key | openssl md5
openssl x509 -noout -modulus -in certificate.crt | openssl md5
# 两个MD5值应相同

最佳实践

  1. 使用足够的密钥长度:建议使用2048位或更高的RSA密钥
  2. 设置合理的有效期:通常不超过1年,避免过长有效期
  3. 包含必要的SAN:确保证书包含所有需要访问的域名和IP
  4. 妥善保管私钥:私钥文件应设置严格的访问权限(如600)
  5. 考虑使用受信任的本地CA:如mkcert生成的证书可被浏览器信任
  6. 在生产环境谨慎使用:自签名证书不适合面向公众的生产环境

自签名证书在开发、测试和内部系统中非常有用,但在生产环境中应优先考虑使用受信任的CA颁发的证书。

TLS 协议与 TLS 证书生成、配置
巡山小妖008
12-22 3864
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2633
ssl
生成自签 https证书
最新发布
流星雨的博客
06-03 734
生成自签 https 证书
【实战总结】自签证书
wcy_1011的专栏
04-23 2210
1、根据实际的机器ip,在extCfg_client.ext 和extCfg_server.ext中修改配置,其中下面的配置可以根据需要任意增加多个,这样生成证书就会对多个IP地址有效。 IP.1 = 17.1.1.17 DNS.1 = local.domain 2、把extCfg_client.ext 、extCfg_server.ext、createCrt.sh放在同一个目录下,执行createCrt.sh脚本就可以生成证书。 3、证书格式转换(根据需要选择要不要做) 拿到的证书文件后,可.
生成自签ssl证书
热门推荐
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
window系统创建自签名SSL证书设置Https
大师兄
05-27 2486
原文链接:https://dsx2016.com/?p=1790 公众号:大师兄2016 应用场景 手机代理到电脑端 使用测试域名调试微信支付,需要在微信内置浏览器和手机自带浏览器唤起微信支付 测试公众号只配置了https的url地址 tips: 微信公众哈后台的支付路径区分http和https hosts文件和nginx配置在没有SSL证书的情况下,无法代理https流量,所以需要申请自签名证书 OpenSSL github地址 https://githu..
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 2262
可通过以下两种方式获取相关 SSL/TLS 证书自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
生成自签名证书
weixin_34417200的博客
12-01 557
数字证书 数字证书包含服务器名称、主机名称,签发机构的名称,签发机构的签名。如何生成自签名证书证书的目的是简历特定密钥对与特定实体之间的联系。自签名证书是指一堆密钥对的私钥对自己相应的公钥生成证书请求进行签名而颁发的证书证书的申请人和签发人都是同一个。需要一对密钥对;常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不...
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 5027
Nginx
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
gocert::locked:生成无痛的自签名TLSSSL证书
05-28
一个轻量级的库以及命令行界面,用于使用纯go生成自签名的SSL / TLS证书。 安装 brew install moorara/brew/gocert 对于其他平台,您可以从下载二进制文件。 快速开始 mkdir certs cd certs gocert init gocert ...
private-tls-cert:一个简单的Terraform模块,用于生成供私人使用的自签名TLS证书
02-04
**私有TLS证书生成与Terraform模块** 在IT行业中,TLS(Transport Layer Security)证书是保障网络通信安全的关键组成部分,特别是在开发、测试和私有环境中。TLS证书用于加密网络连接,验证服务器身份,防止中间人...
tls-gen:生成对开发有用的自签名x509TLSSSL证书
04-29
TLS / SSL证书生成tls-gen是基于OpenSSL的工具,可生成用于开发和QA环境的自签名证书。 该项目最初是从许多测试套件中提取的。 它能做什么 tls-gen生成一个自签名证书颁发机构(CA)证书以及两对或更多对密钥...
self-signed-ssl:使用OpenSSL生成自签名TLS证书
05-01
该脚本简化了使用OpenSSL证书颁发机构,签名请求和自签名TLS证书的创建。 安装 自制软件(MacOS) brew tap lstellway/formulae brew install lstellway/formulae/self-signed-ssl 卷曲 curl --output self-...
Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程
09-30
在本文中,我们将详细探讨如何在Windows Server 2008 R2操作系统环境下配置TLS 1.2并添加自签名证书,为服务器提供一个安全的加密通道,特别是在满足苹果App Transport Security (ATS) 新规定的要求下。苹果公司在...
生成一个自签名证书
qq_31532979的博客
12-13 2146
您可以使用 Apache、Nginx 或任何其他支持 HTTPS 的 Web 服务器来配置此证书。由于是自签名证书,浏览器会显示安全警告。要避免警告,您可以手动将证书导入到浏览器的信任列表中。通过这些步骤,您就可以成功地创建自签名证书并将其导入到浏览器,从而实现 HTTPS 访问。然后,生成证书签署请求(CSR),但这里我们不需要将其提交给证书颁发机构,而是直接自签。最后,使用生成的 CSR 和私钥创建自签名证书(将证书和私钥文件上传到服务器上的一个目录,例如。将证书和私钥文件上传到服务器的某个目录,如。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值