自签名证书

密码学计算机安全中,自签名证书(self-signed certificate)是用自己的私钥签署的数字证书。是可用的与无成本的。自签证书和CA签名证书一样可以用来加密数据,但是HTTPS的访问者的网页浏览器会显示一个警告,说这个证书不被他们的计算机或浏览器信任。因此,只有当不需要向用户证明服务身份时,才可以使用自签名证书,如非公开的网页服务器。非浏览器客户可以连接到HTTPS服务器并明确信任自签名证书,以建立客户与服务器的安全通信。[1]

OpenSSL 行命令生成自签名证书

生成自签证书

从头开始创建一个 2048 位的私钥(domain.key)和一个自签证书(domain.crt):

openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 365 -out domain.crt

其中选项-x509告诉req子命令创建一个自签名的证书。-days 365 选项指定证书的有效期为365天。继续回答 CSR 信息提问,完成该过程。

从现有私钥生成自签名证书

如果已经有了一个私钥(domain.key),可用它来生成一个自签证书(domain.crt):

openssl req -key domain.key -new -x509 -days 365 -out domain.crt 其中选项 -x509 告诉 req 子命令创建一个自签证书。-days 365 选项指定证书的有效期为 365 天。选项 -new 启用 CSR 信息提问。继续回答 CSR 信息提问,完成该过程。

从现有的私钥和 CSR 生成自签证书

如果已经有了私钥(domain.key)和 CSR(domain.csr),可用它们生成一个自签证书(domain.crt):

openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

参考文献
  1. オレオレ証明書の区分 第三版 - 高木浩光、2007年11月
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.