Linux系统中自签名HTTPS证书

夜影风2025-06-15 2:05

在 Linux 系统中,我们可以通过 OpenSSL 工具生成自签名的 HTTPS 证书,并将其配置到 Web 服务器(如 Nginx)中。以下是详细步骤:

一. 生成自签名 HTTPS 证书

  1. 安装 OpenSSL

    首先,确保你的系统上安装了OpenSSL,这是一个强大的加密工具,用于生成和管理SSL/TLS证书。大多数Linux发行版默认已经安装了OpenSSL。

    • 对于 Ubuntu/Debian 系统:

      bash 复制代码 
      sudo apt-get update
sudo apt-get install openssl

    • 对于 CentOS/RHEL 系统:

      bash 复制代码 
      sudo yum install openssl

  2. 生成私钥

    使用OpenSSL生成一个RSA私钥。这个私钥将用于生成证书签名请求(CSR)和自签名的证书。

    • 使用以下命令生成一个 2048 位的私钥文件(例如 server.key):

      bash 复制代码 
      openssl genpkey -algorithm RSA -out server.key

    • 或者使用旧版本的 OpenSSL:

      bash 复制代码 
      openssl genrsa -out server.key 2048

  3. 生成证书签名请求 (CSR)

    使用私钥创建一个证书签名请求。CSR包含了你的组织信息,这些信息将被包含在最终的证书中。

    • 使用私钥生成 CSR 文件(例如 server.csr):

      bash 复制代码 
      openssl req -new -key server.key -out server.csr

    • 在生成过程中,系统会提示输入一些信息,如国家、组织名称、通用名称(域名)等。

  4. 生成自签名证书

    • 使用 CSR 和私钥生成自签名证书(例如 server.crt),有效期为 365 天:

      bash 复制代码 
      openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

二. 配置 Nginx 使用自签名证书

  1. 创建 Nginx 配置文件

    • 编辑 Nginx 的配置文件,添加以下内容:

      nginx 复制代码 
      server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;

    location / {
        root /path/to/your/webroot;
        index index.html index.htm;
    }
}

    • yourdomain.com 替换为你的域名,/path/to/server.crt/path/to/server.key 替换为证书和私钥文件的实际路径。

  2. 重启 Nginx 服务

    • 保存配置文件后,重启 Nginx 服务以使更改生效:

      bash 复制代码 
      sudo systemctl restart nginx

      或者:

      bash 复制代码 
      sudo service nginx restart

三. 注意事项

  • 自签名证书在浏览器中会被视为不安全的,因为它们没有由受信任的证书颁发机构(CA)签名。因此,自签名证书通常仅用于开发环境或内部测试。
  • 如果需要在生产环境中使用 HTTPS,建议购买由受信任 CA 签名的证书。
    • 自签名证书适合内部开发和测试环境,使用方便但安全性低,用户信任度低。
    • CA 签名证书适合生产环境和面向公众的网站,安全性高,用户信任度高,但需要付费。

以下是自签名证书和 CA 签名证书的区别:

特性 自签名证书 CA 签名证书
信任机制 由证书所有者自己签发,浏览器默认不信任,需手动添加到信任列表。 由受信任的第三方 CA 签发,浏览器和客户端设备内置 CA 根证书,自动信任。
安全性 安全性较低,依赖私钥管理,容易被伪造或篡改。 安全性较高,CA 会对申请者进行身份验证,支持多种加密算法和安全标准。
使用场景 适用于内部测试环境、开发环境或小型私人网络。 适用于面向公众的网站、电子商务平台、企业级应用等。
成本 免费,无需支付 CA 费用。 通常需要付费,费用根据证书类型和有效期而定(部分 DV 证书免费)。
证书链 没有证书链,证书由自身签发。 包含证书链(根证书 → 中间证书 → 目标证书),通过证书链验证真实性。
证书有效期 用户自行设置,建议不超过 1 年。 根据 CA/B 论坛规定,DV 证书最长 90 天,OV 和 EV 证书最长 27 个月。
浏览器支持 浏览器会提示证书不受信任,可能阻止访问网站。 浏览器和客户端设备自动信任,用户可以正常访问网站,不会出现安全警告。
相关推荐
墨香幽梦客10 小时前
系统高可用(HA)方案复盘:从主备切换到负载均衡的实现
运维·负载均衡
gaize121310 小时前
服务器搭建网站:深度解析技术维护与美化标题的实践之道
运维·服务器
oMcLin10 小时前
如何在 CentOS Stream 9 上配置并优化 PostgreSQL 15,支持高并发的数据插入与快速查询?
linux·postgresql·centos
柏木乃一10 小时前
进程(11)进程替换函数详解
linux·服务器·c++·操作系统·exec
cly110 小时前
Ansible自动化(十):配置文件管理模块(lineinfile / blockinfile)
运维·自动化·ansible
ben9518chen10 小时前
Linux文件系统基础
linux·服务器·php
乐迪信息10 小时前
乐迪信息:防止船舶误入禁航区:AI偏航检测精准干预
大数据·运维·人工智能·物联网·安全
鋆雨无欢丶10 小时前
docker证书认证问题
运维·docker·容器
晴天¥10 小时前
计算机网络-Linux配置-DNS解析/为什么会出现ping: www.baidu.com: 未知的名称或服务
linux·运维·计算机网络
阿杰 AJie10 小时前
Docker 容器启动的全方位方法汇总
运维·docker·容器
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)06【踩坑笔记】50系显卡适配的 PyTorch 安装07Opencode CLI 安装成功,但是启动失败08手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!09全球最强模型Grok4,国内已可免费使用!(附教程)102025-04-03 Latex学习1——本地配置Latex + VScode环境