当前位置:首页 > 行业动态 > 正文

如何在CentOS上生成自签名的OpenSSL证书?

在CentOS上使用openssl生成自签名证书的步骤包括:生成私钥、创建证书签名请求(CSR)、去除私钥中的密码以及生成自签名SSL证书。

CentOS 使用 OpenSSL 生成自签名证书

如何在CentOS上生成自签名的OpenSSL证书?  第1张

一、背景介绍

在现代互联网应用中,HTTPS已经成为确保数据安全传输的基石,通过加密手段,HTTPS能够保护数据免受中间人攻击和窃听,在开发和测试环境中,获取由受信任证书颁发机构(CA)签发的证书可能既不现实也不必要,这时,自签名证书就派上了用场,自签名证书是由证书持有者自己生成并签署的证书,不受任何受信任CA的限制,本文将详细介绍如何在CentOS系统上使用OpenSSL生成自签名证书,并将其部署到Nginx服务器上。

二、前提条件

在进行下面的步骤之前,请确保你的系统已经安装了OpenSSL和Nginx,并且具备管理员权限,如果没有安装这些软件,可以使用以下命令进行安装:

安装OpenSSL

sudo yum install openssl openssl-devel

安装Nginx

sudo yum install nginx

三、生成自签名证书

1. 创建目录存储证书文件

我们需要创建一个目录来存储将要生成的证书文件,为了便于管理,建议使用域名或IP地址作为目录名称,我们使用www.example.com作为目录名:

mkdir -p /etc/ssl/certs/www.example.com
cd /etc/ssl/certs/www.example.com

2. 生成私钥

使用OpenSSL生成一个2048位的RSA私钥,并设置密码保护,注意,这里的密码需要至少4位以上:

openssl genrsa -des3 -out server.key 2048

3. 生成证书签名请求(CSR)

生成证书签名请求(CSR):

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=ExampleCorp/OU=IT/CN=www.example.com"

上述命令中的-subj参数用于填写证书的主题信息,可以根据实际情况进行调整。

4. 去除私钥中的密码

由于每次启动Web服务器时都需要输入密码,这显然不方便,所以我们需要去除私钥中的密码:

openssl rsa -in server.key -out server.key

5. 生成自签名证书

使用私钥签署CSR,生成自签名证书,这里我们将证书有效期设置为10年:

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

至此,我们已经生成了以下三个文件:

server.key:私钥文件

server.csr:证书签名请求文件

server.crt:自签名证书文件

四、配置Nginx使用自签名证书

1. 编辑Nginx配置文件

打开Nginx的配置文件,添加SSL相关配置,假设我们的网站根目录为/usr/share/nginx/html:

sudo vim /etc/nginx/conf.d/ssl.conf

在文件中添加以下内容:

server {
    listen 443 ssl;
    server_name www.example.com;
    
    ssl_certificate /etc/ssl/certs/www.example.com/server.crt;
    ssl_certificate_key /etc/ssl/certs/www.example.com/server.key;
    
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 10m;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    
    location / {
        root /usr/share/nginx/html;
        index index.html index.htm;
    }
}

2. 检查配置文件是否正确

在重启Nginx之前,建议先检查配置文件是否有误:

sudo nginx -t

如果一切正常,你会看到类似如下的输出:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3. 重启Nginx服务

重启Nginx以使配置生效:

sudo systemctl restart nginx

五、常见问题及解决方法

Q1:如何验证自签名证书是否生效?

A1:可以通过浏览器访问你的网站,如果使用的是自签名证书,浏览器会显示安全警告,你可以手动添加该证书到受信任的根证书颁发机构中,从而消除警告,具体操作步骤因浏览器而异,但通常可以通过点击警告信息中的“查看证书”按钮来完成。

Q2:如何更新自签名证书?

A2:当你的自签名证书即将到期时,你需要重新生成一个新的证书,可以按照上述步骤重新生成新的私钥、CSR和自签名证书,然后在Nginx配置文件中更新相应的路径即可,记得在生成新证书之前备份旧的证书文件以防万一。

六、小编有话说

通过本文的学习,我们学会了如何在CentOS系统上使用OpenSSL生成自签名证书,并将其部署到Nginx服务器上,虽然自签名证书不适合生产环境,但在开发和测试阶段却非常有用,希望这篇文章对你有所帮助!如果你有任何疑问或建议,欢迎在评论区留言讨论。

0