下面是生成自签证书的过程:
1.生成密钥
openssl genrsa -out test.com.key 2048
2.生成证书请求文件,运行之后会出现一大堆要输入的东西,输入之后就生成.csr文件的文件了
openssl req -new -key test.com.key -out test.com.csr
您即将被要求输入将被合并的信息
到您的证书请求中。
您即将输入的是所谓的专有名称或DN。
有相当多的领域,但你可以留下一些空白
对于某些字段会有一个默认值,
如果输入'。',该字段将留空。
-
国名(2字母代码)[XX]:CN
州或省名称(全名)[]:北京
地区名称(如城市)[默认城市]:北京
组织名称(如公司)[Default Company Ltd]:test.com
组织单位名称(例如,部分)[]:测试
通用名称(例如,您的名字或您的服务器的主机名)[]:www.test.com
电子邮件地址[]:root@test.com
请输入以下'额外'属性
与您的证书请求一起发送
质询密码[]:123456
可选公司名称[]:test
3.生成证书CRT
openssl x509 -req -days 365 -in test.com.csr -signkey test.com.key -out test.com.crt
4.复制文件到相应的目录
cp test.com.crt / etc / pki / tls / certs
cp test.com.key / etc / pki / tls / private /
cp test.com.csr / etc / pki / tls / private /
5.修改配置文件
vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/test.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/test.com.key
6.重启阿帕奇
服务httpd重启
7.这时再使用HTTPS访问,查看证书详情的时候就会看到
发布到:www.test.com
发布者:www.test.com
颁发者:www.test.com
颁发给:www.test.com
自签名HTTPS证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了安全隐患,随时可能被不法份子利用。如果处于成本考虑,建议去Gworg申请HTTPS证书来使用。