当前位置：首页 > news >正文

Linux系统中自签名HTTPS证书

news 2025/6/14 7:09:44

在 Linux 系统中，我们可以通过 OpenSSL 工具生成自签名的 HTTPS 证书，并将其配置到 Web 服务器（如 Nginx）中。以下是详细步骤：

安装 OpenSSL：

首先，确保你的系统上安装了OpenSSL，这是一个强大的加密工具，用于生成和管理SSL/TLS证书。大多数Linux发行版默认已经安装了OpenSSL。
- 对于 Ubuntu/Debian 系统：
```
sudo apt-get update
sudo apt-get install openssl
```
- 对于 CentOS/RHEL 系统：
```
sudo yum install openssl
```
生成私钥：

使用OpenSSL生成一个RSA私钥。这个私钥将用于生成证书签名请求（CSR）和自签名的证书。
- 使用以下命令生成一个 2048 位的私钥文件（例如 server.key）：
```
openssl genpkey -algorithm RSA -out server.key
```
- 或者使用旧版本的 OpenSSL：
```
openssl genrsa -out server.key 2048
```
生成证书签名请求 (CSR)：

使用私钥创建一个证书签名请求。CSR包含了你的组织信息，这些信息将被包含在最终的证书中。
- 使用私钥生成 CSR 文件（例如 server.csr）：
```
openssl req -new -key server.key -out server.csr
```
- 在生成过程中，系统会提示输入一些信息，如国家、组织名称、通用名称（域名）等。
生成自签名证书：
- 使用 CSR 和私钥生成自签名证书（例如 server.crt），有效期为 365 天：
```
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
```

创建 Nginx 配置文件：
- 编辑 Nginx 的配置文件，添加以下内容：
```
server {listen 443 ssl;server_name yourdomain.com;ssl_certificate /path/to/server.crt;ssl_certificate_key /path/to/server.key;location / {root /path/to/your/webroot;index index.html index.htm;}
}
```
- 将 yourdomain.com 替换为你的域名，/path/to/server.crt 和 /path/to/server.key 替换为证书和私钥文件的实际路径。
重启 Nginx 服务：
- 保存配置文件后，重启 Nginx 服务以使更改生效：
```
sudo systemctl restart nginx
```
  或者：
```
sudo service nginx restart
```

自签名证书在浏览器中会被视为不安全的，因为它们没有由受信任的证书颁发机构（CA）签名。因此，自签名证书通常仅用于开发环境或内部测试。
如果需要在生产环境中使用 HTTPS，建议购买由受信任 CA 签名的证书。
- 自签名证书适合内部开发和测试环境，使用方便但安全性低，用户信任度低。
- CA 签名证书适合生产环境和面向公众的网站，安全性高，用户信任度高，但需要付费。

以下是自签名证书和 CA 签名证书的区别：

特性	自签名证书	CA 签名证书
信任机制	由证书所有者自己签发，浏览器默认不信任，需手动添加到信任列表。	由受信任的第三方 CA 签发，浏览器和客户端设备内置 CA 根证书，自动信任。
安全性	安全性较低，依赖私钥管理，容易被伪造或篡改。	安全性较高，CA 会对申请者进行身份验证，支持多种加密算法和安全标准。
使用场景	适用于内部测试环境、开发环境或小型私人网络。	适用于面向公众的网站、电子商务平台、企业级应用等。
成本	免费，无需支付 CA 费用。	通常需要付费，费用根据证书类型和有效期而定（部分 DV 证书免费）。
证书链	没有证书链，证书由自身签发。	包含证书链（根证书 → 中间证书 → 目标证书），通过证书链验证真实性。
证书有效期	用户自行设置，建议不超过 1 年。	根据 CA/B 论坛规定，DV 证书最长 90 天，OV 和 EV 证书最长 27 个月。
浏览器支持	浏览器会提示证书不受信任，可能阻止访问网站。	浏览器和客户端设备自动信任，用户可以正常访问网站，不会出现安全警告。