【经验篇】自签名TLS证书生成

于 2025-06-12 19:14:36 发布
阅读量1k 收藏 3
点赞数 23
CC 4.0 BY-SA版权
分类专栏: Linux 运维进阶必备【案例分享】 文章标签: chrome 前端 tls https证书 自签名证书 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cui_win/article/details/148616635

目录

生成自签名证书

自签名证书是一种由组织或个人自行颁发的数字证书,无需通过第三方证书颁发机构(CA)。虽然自签名证书在生产环境中通常不被浏览器信任,但在开发、测试、内部系统或特定场景下非常有用。下面介绍几种常见的生成自签名证书的方法。

使用OpenSSL生成自签名证书

生成RSA密钥和自签名证书

# 生成私钥
openssl genrsa -out private.key 2048

# 生成证书签名请求(CSR)交互方式的
openssl req -new -key private.key -out certificate.csr

# 自签名证书(有效期1年)
openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt

# 合并证书和私钥(可选,某些应用需要)
cat certificate.crt private.key > certificate.pem

一步生成自签名证书

# 一步生成私钥和自签名证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

# 跳过交互式问答(使用-subj参数)
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Your Organization/OU=IT Department/CN=yourdomain.com"

生成带SAN(Subject Alternative Name)的证书

# 创建SAN配置文件(san.cnf)
cat > san.cnf << EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = Beijing
L = Beijing
O = Your Organization
OU = IT Department
CN = yourdomain.com

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = yourdomain.com
DNS.2 = www.yourdomain.com
IP.1 = 192.168.1.1
EOF

# 使用配置文件生成证书
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -config san.cnf

使用keytool生成自签名证书

生成Java密钥库(JKS)格式的自签名证书

# 生成自签名证书并存储在JKS密钥库中
keytool -genkeypair -alias mydomain -keyalg RSA -keysize 2048 -storetype JKS \
  -keystore keystore.jks -validity 365 \
  -dname "CN=yourdomain.com, OU=IT, O=Your Organization, L=Beijing, ST=Beijing, C=CN"

# 导出证书(可选)
keytool -exportcert -alias mydomain -keystore keystore.jks -file certificate.crt

生成PKCS12格式的自签名证书

# 生成PKCS12格式的密钥库
keytool -genkeypair -alias mydomain -keyalg RSA -keysize 2048 -storetype PKCS12 \
  -keystore keystore.p12 -validity 365 \
  -dname "CN=yourdomain.com, OU=IT, O=Your Organization, L=Beijing, ST=Beijing, C=CN"

使用mkcert生成受信任的自签名证书

安装mkcert

# macOS
brew install mkcert
brew install nss # 如果使用Firefox

# Linux
sudo apt install libnss3-tools
curl -JLO "https://dl.filippo.io/mkcert/latest?for=linux/amd64"
chmod +x mkcert-v*-linux-amd64
sudo cp mkcert-v*-linux-amd64 /usr/local/bin/mkcert

# Windows
choco install mkcert

生成受信任的自签名证书

# 安装本地CA(只需执行一次)
mkcert -install

# 生成证书(支持多域名和IP)
mkcert yourdomain.com *.yourdomain.com 127.0.0.1 ::1

# 输出:
# Created a new certificate valid for the following names
#  - "yourdomain.com"
#  - "*.yourdomain.com"
#  - "127.0.0.1"
#  - "::1"

# 证书文件:
# "yourdomain.com+3.pem"
# "yourdomain.com+3-key.pem"

使用Cloudflare CFSSL生成自签名证书

安装CFSSL

# macOS
brew install cfssl

# Linux
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64 -o cfssl
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64 -o cfssljson
chmod +x cfssl cfssljson
sudo mv cfssl cfssljson /usr/local/bin/

生成自签名证书

# 创建证书配置文件(csr.json)
cat > csr.json << EOF
{
  "CN": "yourdomain.com",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Your Organization",
      "OU": "IT Department"
    }
  ],
  "hosts": [
    "yourdomain.com",
    "www.yourdomain.com",
    "192.168.1.1"
  ]
}
EOF

# 生成证书
cfssl genkey -initca csr.json | cfssljson -bare ca

# 自签名证书
cfssl sign -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server csr.json | cfssljson -bare server

生成特定格式的证书

生成PFX/P12格式证书(Windows友好格式)

# 从现有证书和私钥转换
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt

# 直接生成PFX格式
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in cert.pem

生成DER格式证书(二进制格式)

# 将PEM转换为DER
openssl x509 -outform der -in certificate.crt -out certificate.der

验证生成的证书

# 查看证书信息
openssl x509 -noout -text -in certificate.crt

# 验证证书有效性
openssl verify certificate.crt

# 验证私钥与证书匹配
openssl rsa -noout -modulus -in private.key | openssl md5
openssl x509 -noout -modulus -in certificate.crt | openssl md5
# 两个MD5值应相同

最佳实践

  1. 使用足够的密钥长度:建议使用2048位或更高的RSA密钥
  2. 设置合理的有效期:通常不超过1年,避免过长有效期
  3. 包含必要的SAN:确保证书包含所有需要访问的域名和IP
  4. 妥善保管私钥:私钥文件应设置严格的访问权限(如600)
  5. 考虑使用受信任的本地CA:如mkcert生成的证书可被浏览器信任
  6. 在生产环境谨慎使用:自签名证书不适合面向公众的生产环境

自签名证书在开发、测试和内部系统中非常有用,但在生产环境中应优先考虑使用受信任的CA颁发的证书。

TLS 协议与 TLS 证书生成、配置
巡山小妖008
12-22 3867
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
生成一个自签名证书
qq_31532979的博客
12-13 2152
您可以使用 Apache、Nginx 或任何其他支持 HTTPS 的 Web 服务器来配置此证书。由于是自签名证书,浏览器会显示安全警告。要避免警告,您可以手动将证书导入到浏览器的信任列表中。通过这些步骤,您就可以成功地创建自签名证书并将其导入到浏览器,从而实现 HTTPS 访问。然后,生成证书签署请求(CSR),但这里我们不需要将其提交给证书颁发机构,而是直接自签。最后,使用生成的 CSR 和私钥创建自签名证书(将证书和私钥文件上传到服务器上的一个目录,例如。将证书和私钥文件上传到服务器的某个目录,如。
【实战总结】自签证书
wcy_1011的专栏
04-23 2212
1、根据实际的机器ip,在extCfg_client.ext 和extCfg_server.ext中修改配置,其中下面的配置可以根据需要任意增加多个,这样生成证书就会对多个IP地址有效。 IP.1 = 17.1.1.17 DNS.1 = local.domain 2、把extCfg_client.ext 、extCfg_server.ext、createCrt.sh放在同一个目录下,执行createCrt.sh脚本就可以生成证书。 3、证书格式转换(根据需要选择要不要做) 拿到的证书文件后,可.
生成自签ssl证书
热门推荐
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
window系统创建自签名SSL证书设置Https
大师兄
05-27 2510
原文链接:https://dsx2016.com/?p=1790 公众号:大师兄2016 应用场景 手机代理到电脑端 使用测试域名调试微信支付,需要在微信内置浏览器和手机自带浏览器唤起微信支付 测试公众号只配置了https的url地址 tips: 微信公众哈后台的支付路径区分http和https hosts文件和nginx配置在没有SSL证书的情况下,无法代理https流量,所以需要申请自签名证书 OpenSSL github地址 https://githu..
生成自签 https证书
最新发布
流星雨的博客
06-03 759
生成自签 https 证书
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 2265
可通过以下两种方式获取相关 SSL/TLS 证书自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
OpenSSL 生成自签名证书
HD243608836的博客
04-18 1522
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证书 的天数完成:cmd在哪里运行的,生成证书会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
生成自签名证书
paozixiaopu的博客
06-19 917
自签名证书
gocert::locked:生成无痛的自签名TLSSSL证书
05-28
一个轻量级的库以及命令行界面,用于使用纯go生成自签名的SSL / TLS证书。 安装 brew install moorara/brew/gocert 对于其他平台,您可以从下载二进制文件。 快速开始 mkdir certs cd certs gocert init gocert ...
private-tls-cert:一个简单的Terraform模块,用于生成供私人使用的自签名TLS证书
02-04
**私有TLS证书生成与Terraform模块** 在IT行业中,TLS(Transport Layer Security)证书是保障网络通信安全的关键组成部分,特别是在开发、测试和私有环境中。TLS证书用于加密网络连接,验证服务器身份,防止中间人...
tls-gen:生成对开发有用的自签名x509TLSSSL证书
04-29
TLS / SSL证书生成tls-gen是基于OpenSSL的工具,可生成用于开发和QA环境的自签名证书。 该项目最初是从许多测试套件中提取的。 它能做什么 tls-gen生成一个自签名证书颁发机构(CA)证书以及两对或更多对密钥...
self-signed-ssl:使用OpenSSL生成自签名TLS证书
05-01
该脚本简化了使用OpenSSL证书颁发机构,签名请求和自签名TLS证书的创建。 安装 自制软件(MacOS) brew tap lstellway/formulae brew install lstellway/formulae/self-signed-ssl 卷曲 curl --output self-...
Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程
09-30
在本文中,我们将详细探讨如何在Windows Server 2008 R2操作系统环境下配置TLS 1.2并添加自签名证书,为服务器提供一个安全的加密通道,特别是在满足苹果App Transport Security (ATS) 新规定的要求下。苹果公司在...
OpenSSL生成自签名证书
weixin_52582672的博客
11-09 1697
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名其证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成和签名的证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2633
ssl
生成自签名证书生成证书和秘钥
技术分享
07-12 5144
SSL- Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值