OpenSSL生成自签名证书

在搭建安全的网络通信环境中，使用SSL/TLS证书是至关重要的一步。下面是使用OpenSSL生成自签名证书的步骤：

生成RSA 私钥

首先，我们需要生成一个RSA私钥。RSA是一种非对称加密算法，私钥用于对数据进行加密和签名。

openssl genrsa -des3 -out server.key 2048

这条命令将生成一个2048位长的RSA私钥，并使用DES3算法对其进行加密，生成的私钥文件名为server.key。

生成CSR 证书签名请求

接下来，我们需要创建一个证书签名请求（CSR），它包含了我们的公钥以及一些相关的信息。

openssl req -new -key server.key -out server.csr

在执行此命令时，会提示输入一些相关信息，包括国家、地区、城市、组织、组织单位、CommonName以及Email等。其中，CommonName应该与你的域名一致，否则在浏览器中可能会出现警告。

删除私钥中的密码

在第一步生成私钥时，由于必须指定一个密码，这会导致在每次启动Web服务器时都需要输入密码。为了避免这个问题，我们需要将私钥中的密码删除。

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

执行这两条命令后，server.key中的密码将被删除。

生成自签名证书

最后，我们使用CSR和私钥来生成自签名证书。

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

这条命令将使用私钥对CSR进行签名，生成一个有效期为365天的自签名证书，文件名为server.crt。

一键生成自签名证书

如果你想一次性生成私钥、CSR和自签名证书，可以使用以下命令：

openssl req -new -x509 -newkey rsa:4096 -keyout client.key -out client.crt

这条命令将生成一个4096位长的RSA私钥，然后使用这个私钥生成CSR，并最终生成自签名证书，私钥文件名为client.key，证书文件名为client.crt。