如何通过OpenSSL生成自签名证书_SSL

我们可以使用openssl生成一对密钥和证书。通常，证书文件（.crt）包含公钥和证书信息，而.key文件是私钥。

我们可以使用以下步骤：

生成私钥（.key文件）
使用私钥生成证书签名请求（csr）
使用私钥和csr生成自签名证书（.crt文件）

注意：

这里生成的是自签名证书，适用于测试或内部使用。
对于生产环境，通常需要向证书颁发机构（ca）申请签名。

方法一：生成自签名证书（一步完成）

# 生成私钥和自签名证书（有效期365天）
openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 365 -nodes

# 交互式输入信息，或使用以下命令自动填写：
openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 365 -nodes \
  -subj "/c=cn/st=beijing/l=beijing/o=yourorg/ou=yourdept/cn=yourdomain.com"

方法二：分步生成（更灵活）

# 1. 生成私钥
openssl genrsa -out server.key 2048

# 2. 生成证书签名请求（csr）
openssl req -new -key server.key -out server.csr \
  -subj "/c=cn/st=beijing/l=beijing/o=yourorg/ou=yourdept/cn=yourdomain.com"

# 3. 生成自签名证书
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

方法三：使用配置文件生成

创建配置文件 cert.conf：

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
x509_extensions = v3_req

[dn]
c = cn
st = beijing
l = beijing
o = yourorg
ou = yourdept
cn = yourdomain.com

[v3_req]
keyusage = keyencipherment, dataencipherment
extendedkeyusage = serverauth
subjectaltname = @alt_names

[alt_names]
dns.1 = yourdomain.com
dns.2 = *.yourdomain.com
ip.1 = 192.168.1.100

执行生成命令：

openssl req -new -x509 -days 365 -nodes \
  -config cert.conf \
  -newkey rsa:2048 \
  -keyout server.key \
  -out server.crt

常用参数说明

-newkey rsa:2048：生成 2048 位 rsa 密钥
-keyout：指定私钥输出文件
-out：指定证书输出文件
-days：证书有效期（天）
-nodes：不加密私钥（无密码）
-subj：自动填写证书信息
-x509：生成自签名证书

验证生成的证书

# 查看证书信息
openssl x509 -in server.crt -text -noout

# 查看私钥信息
openssl rsa -in server.key -check -noout

# 验证密钥和证书是否匹配
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
# 两个md5值应该相同