自签名ssl证书

发表于 | 分类于
本文字数: 1.9k | 阅读时长 ≈ 2 分钟
定制个人签名证书
生成私钥文件
openssl genrsa -des3 -out www.laohulab.com.key 2048
移除私钥密码
openssl rsa -in www.laohulab.com.key -out www.laohulab.com.key
生成自签名证书
openssl req -new -sha256  \
    -x509 \
    -days 10000 \
    -key www.laohulab.com.key \
    -subj "/C=CN/ST=BeiJing/L=Beijing/O=QUNAR/OU=FE/CN=www.laohulab.com" \
    -extensions SAN \
    -config <(cat ./openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS.1:www:laohulab.com,DNS.2:wiki.laohulab.com,DNS.3:*.laohulab.com")) \
    -out www.laohulab.com.crt
注意:
  • 由于各服务器openssl版本不同,当前服务器自签名的证书拷贝至其他服务器可能会出现问题,最好在需要使用服务器上使用openssl重新生成
  • 使用到本机openssl.cnf文件
生成genewiz证书示例
openssl genrsa -des3 -out gwharbor03.local.genewiz.com.key 2048
openssl rsa -in gwharbor03.local.genewiz.com.key -out gwharbor03.local.genewiz.com.key    
openssl req -new -sha256  \
    -x509 \
    -days 10000 \
    -key gwharbor03.local.genewiz.com.key \
    -subj "/C=CN/ST=Jiangsu/L=Suzhou/O=ITSA/OU=ITSA/CN=*.local.genewiz.com" \
    -extensions SAN \
    -config <(cat ./openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS.1:gwharbor03.local.genewiz.com,DNS.2:*.local.genewiz.com")) \
    -out gwharbor03.local.genewiz.com.crt
生成laohulab.com自签名证书
openssl genrsa -des3 -out laohulab.com.key 2048

img

openssl rsa -in laohulab.com.key -out laohulab.com.key

img

[root@nginx-10-20 ~]# openssl req -new -sha256  \
>     -x509 \
>     -days 10000 \
>     -key laohulab.com.key \
>     -subj "/C=CN/ST=JiangSu/L=Nanjing/O=IT/OU=IT/CN=laohulab.com" \
>     -extensions SAN \
>     -config <(cat ./openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS.1:laohulab.com,DNS.2:www.laohulab.com,DNS.3:*.laohulab.com")) \
>     -out laohulab.com.crt

img

img
6.测试证书

由于自签名证书并未被各大主流浏览器根证书信任,所以访问时会提示证书信任警告,将自签名的laohulab.com.crt导入浏览器即可
[root@nginx-10-20 ~]# mv laohulab.com.* /opt/laohulab/nginx/certs/
[root@nginx-10-20 ~]# cd /opt/laohulab/nginx/certs/

img

重启Nginx,进行测试! IE测试,由于自签名证书并未被各大主流浏览器根证书信任,所以访问时会提示证书信任警告,将自签名的laohulab.com.crt导入浏览器即可
img

img

img

img

img

img

0%