openssl 生成自签名证书步骤

BUG_MeDe2025-11-21 20:49

1,引入

生成自签名证书有,① 只生成根证书和根密钥 ② 用生成的根证书和跟密钥,签发server端和客户端证书,下文介绍这两种方法生成证书文件

2,方法一 (只生成根证书和根密钥)

① openssl genrsa -out cakey.pem 2048 :生成一个2048bit密钥长度的私钥

注: genrsa :产生RSA私钥 支持bit位:1024 , 2048

② openssl req -new -key cakey.pem -out ca.csr :通过cakey.pem生成证书签名文件

注:

req -new :表示创建一个新的证书请求

-key cakey.pem :指定用于签署证书请求的私钥文件。这里使用的是cakey.pem。

这一步需要交互生成(如图):

复制代码 
Country Name : 国家码,2个大写字符 [C]

State or Province Name (full name) : 省份或州的完整名称  [S]

Locality Name :地区或城市名  [L]

Organization Name :公司或组织名称   [O]

Organizational Unit Name : 单位或部门名称  [OU]

Common Name :通用名称,     [CN]
    服务器证书:必须是域名(如www.example.com)

    CA证书:通常是机构名称

    个人证书:个人姓名

Email Address :使用者邮箱地址   [E]

A challenge password : 保护csr的密钥,通常不写:

[x] : 表示缩写,简称

以上操作之后会得到: ca.csr 和 cakey.pem

③ openssl x509 -req -days 10950 -sha1 -extensions v3_ca -signkey cakey.pem -in ca.csr -out ca.crt 使用cakey.pem和ca.csr生成自签名根证书 -ca.crt

注:

复制代码 
    x509 -req:处理X.509证书,输入为CSR请求

    -days 10950:设置证书有效期为10950天(约30年)

    -sha1:使用SHA-1哈希算法进行签名(注意:现在推荐使用SHA-256)

    -extensions v3_ca:应用v3_ca扩展,标记此为CA证书

    -signkey cakey.pem:使用指定的私钥进行自签名

    -in ca.csr:输入文件为证书签名请求

    -out ca.crt:输出证书文件

以上在该目录下会生成: ca.crt ca.csr cakey.pem (标红的为一对证书和私钥) ,完成!!!

注: 也可调过步骤二,直接使用如下命令生成证书文件。

**openssl req -new -x509 -key cakey.pem -out cacert.pem -days 10950 :**该命令任然会触发第二部的交互

3,方法二 (通过生成的根证书完成server端和client端证书的生成)

① 生成服务端私钥

openssl genrsa -out server-key.pem 2048

② 生成服务端证书签名文件(触发交互)

openssl req -new -key server-key.pem -out server.csr

③ 通过根ca.crt 和cakey.pem 签发服务端证书(serverCert.pem)

openssl x509 -req -days 10950 -sha1 -extensions v3_req -CA ca.crt -CAkey cakey.pem -CAserial ca.srl -CAcreateserial -in server.csr -out serverCert.pem

注: -out 带的参数名字可更改
①生成客户端私钥

openssl genrsa -out client-key.pem 2048

② 生成客户端证书签名文件(触发交互)

openssl req -new -key client-key.pem -out client.csr

③ 通过根ca.crt 和cakey.pem 签发客户端证书( clientCert.pem)

openssl x509 -req -days 10950 -sha1 -extensions v3_req -CA ca.crt -CAkey cakey.pem -CAserial ca.srl -in client.csr -out clientCert.pem

-CAserial :表示证书的序列号,没有就随机生成,在ca.srl文件中,与下文,查看证书的Serial number 对应

以上:

服务端使用: server-key.pem 和 serverCert.pem

客户端使用: client-key.pem 和 clientCert.pem

通过以下命令:

复制代码 
openssl verify -CAfile ca.cer serverCert.pem 验证证书链

4,查看证书信息

openssl x509 -in ca.crt -dates -noout :查看证书过期时间

openssl x509 -in ca.cer -text -noout :查看证书内容

5,总结

介绍了使用openssl 生成自签名证书的两种方法,最后只用于测试环境,第一种方法较为推荐,其中sha1 可替换为-sha256 更安全。

相关推荐
黄同学real13 分钟前
解决 Visual Studio Web Deploy 远程发布报 401 未授权 (ERROR\_USER\_UNAUTHORIZED)
服务器
天天进步201530 分钟前
Tunnelto 源码解析 #9:控制服务器设计:Warp、WebSocket、Ping/Pong 与连接保活
运维·服务器·websocket
Java面试题总结1 小时前
Linux-Ubantu-贴士-apt的地盘
linux·运维·服务器
●VON2 小时前
AtomGit Flutter鸿蒙客户端:数据模型
android·服务器·安全·flutter·harmonyos·鸿蒙
酉鬼女又兒2 小时前
零基础入门计算机网络:网络层核心任务、三大关键问题、两种服务类型与 TCP/IP 网际层协议体系全解析
服务器·网络·网络协议·tcp/ip·计算机网络·php·求职招聘
Gauss松鼠会3 小时前
【GaussDB】GaussDB重要通信参数汇总
服务器·网络·数据库·sql·性能优化·gaussdb·经验总结
凡人叶枫3 小时前
Effective C++ 条款10:令 operator= 返回一个 reference to *this
java·linux·服务器·开发语言·c++·effective c++
某林2123 小时前
Isaac Sim 5.1.0 无头服务器部署与 RTX 显存段错误排障全记录
运维·服务器·docker·容器·isaac
代码中介商3 小时前
HTTPS加密原理:图解安全传输全流程
网络协议·http·https
m0_738120723 小时前
Docker 环境下 Vulfocus 靶场搭建全流程(附镜像源问题解决方案)
运维·服务器·网络·安全·docker·容器
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08AI科技热点日报 | 2026年6月1日09CC-Switch 下载、安装与使用配置指南【2026.5.29】10CC-Switch & Claude 基于 Linux 服务器安装使用指南