Linux系统中自签名HTTPS证书

夜影风2025-06-15 2:05

在 Linux 系统中,我们可以通过 OpenSSL 工具生成自签名的 HTTPS 证书,并将其配置到 Web 服务器(如 Nginx)中。以下是详细步骤:

一. 生成自签名 HTTPS 证书

  1. 安装 OpenSSL

    首先,确保你的系统上安装了OpenSSL,这是一个强大的加密工具,用于生成和管理SSL/TLS证书。大多数Linux发行版默认已经安装了OpenSSL。

    • 对于 Ubuntu/Debian 系统:

      bash 复制代码 
      sudo apt-get update
sudo apt-get install openssl

    • 对于 CentOS/RHEL 系统:

      bash 复制代码 
      sudo yum install openssl

  2. 生成私钥

    使用OpenSSL生成一个RSA私钥。这个私钥将用于生成证书签名请求(CSR)和自签名的证书。

    • 使用以下命令生成一个 2048 位的私钥文件(例如 server.key):

      bash 复制代码 
      openssl genpkey -algorithm RSA -out server.key

    • 或者使用旧版本的 OpenSSL:

      bash 复制代码 
      openssl genrsa -out server.key 2048

  3. 生成证书签名请求 (CSR)

    使用私钥创建一个证书签名请求。CSR包含了你的组织信息,这些信息将被包含在最终的证书中。

    • 使用私钥生成 CSR 文件(例如 server.csr):

      bash 复制代码 
      openssl req -new -key server.key -out server.csr

    • 在生成过程中,系统会提示输入一些信息,如国家、组织名称、通用名称(域名)等。

  4. 生成自签名证书

    • 使用 CSR 和私钥生成自签名证书(例如 server.crt),有效期为 365 天:

      bash 复制代码 
      openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

二. 配置 Nginx 使用自签名证书

  1. 创建 Nginx 配置文件

    • 编辑 Nginx 的配置文件,添加以下内容:

      nginx 复制代码 
      server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;

    location / {
        root /path/to/your/webroot;
        index index.html index.htm;
    }
}

    • yourdomain.com 替换为你的域名,/path/to/server.crt/path/to/server.key 替换为证书和私钥文件的实际路径。

  2. 重启 Nginx 服务

    • 保存配置文件后,重启 Nginx 服务以使更改生效:

      bash 复制代码 
      sudo systemctl restart nginx

      或者:

      bash 复制代码 
      sudo service nginx restart

三. 注意事项

  • 自签名证书在浏览器中会被视为不安全的,因为它们没有由受信任的证书颁发机构(CA)签名。因此,自签名证书通常仅用于开发环境或内部测试。
  • 如果需要在生产环境中使用 HTTPS,建议购买由受信任 CA 签名的证书。
    • 自签名证书适合内部开发和测试环境,使用方便但安全性低,用户信任度低。
    • CA 签名证书适合生产环境和面向公众的网站,安全性高,用户信任度高,但需要付费。

以下是自签名证书和 CA 签名证书的区别:

特性 自签名证书 CA 签名证书
信任机制 由证书所有者自己签发,浏览器默认不信任,需手动添加到信任列表。 由受信任的第三方 CA 签发,浏览器和客户端设备内置 CA 根证书,自动信任。
安全性 安全性较低,依赖私钥管理,容易被伪造或篡改。 安全性较高,CA 会对申请者进行身份验证,支持多种加密算法和安全标准。
使用场景 适用于内部测试环境、开发环境或小型私人网络。 适用于面向公众的网站、电子商务平台、企业级应用等。
成本 免费,无需支付 CA 费用。 通常需要付费,费用根据证书类型和有效期而定(部分 DV 证书免费)。
证书链 没有证书链,证书由自身签发。 包含证书链(根证书 → 中间证书 → 目标证书),通过证书链验证真实性。
证书有效期 用户自行设置,建议不超过 1 年。 根据 CA/B 论坛规定,DV 证书最长 90 天,OV 和 EV 证书最长 27 个月。
浏览器支持 浏览器会提示证书不受信任,可能阻止访问网站。 浏览器和客户端设备自动信任,用户可以正常访问网站,不会出现安全警告。
相关推荐
呆呆的小鳄鱼8 分钟前
IO之详解cin(c++IO关键理解)
linux·c语言·c++
我言秋日胜春朝★28 分钟前
【Linux网络编程】基于udp套接字实现的网络通信
linux·网络·udp
conkl35 分钟前
Apache网页优化实战指南 - 让网站加载速度提升
linux·运维·服务器·开发语言·阿里云·apache
huangyuchi.1 小时前
【Linux】初见,进程概念
linux·服务器·操作系统·进程·进程管理·pcb·fork
thinkMoreAndDoMore1 小时前
linux驱动开发(9)- 信号量
linux·运维·驱动开发
海天胜景2 小时前
nginx 配置返回 文件大小
运维·nginx
五阿哥爱跳舞2 小时前
【环境配置】解决linux每次打开终端都需要source .bashrc文件的问题
linux·运维·服务器
时央1234562 小时前
C#使用Tuple方法实现OpreateResultModel功能
运维·开发语言·c#
爱学习的白杨树2 小时前
Spring Cloud Gateway 介绍
java·运维·开发语言
网易独家音乐人Mike Zhou2 小时前
【Linux应用】Linux系统日志上报服务,以及thttpd的配置、发送函数
linux·运维·服务器·mcu·物联网·嵌入式·iot
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02【图像处理与机器视觉】XJTU期末考点03KGG转MP3工具|非KGM文件|解密音频04零代码入门 | Coze——让大模型接入自己的数据库05海康Visionmaster-常见问题排查方法-启动阶段06YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】07扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解08从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑09【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!10DeepSeek各版本说明与优缺点分析