DEV Community
·
使用自建根CA创建自签名证书
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
如今,几乎所有项目都使用SSL证书。Let's Encrypt提供免费证书,但无法用于本地环境,因此需要生成自签名证书。为避免自签名证书被标记为不安全,可以创建自己的根CA。使用OpenSSL生成根CA的公钥和私钥后,用其签署SSL证书。要在设备上信任自建的根CA,需要在Windows、Firefox或Linux中安装和更新证书。
🎯
关键要点
- 几乎所有项目都使用SSL证书。
- Let's Encrypt提供免费证书,但无法用于本地环境。
- 需要生成自签名证书以在本地使用SSL。
- 自签名证书会被标记为不安全,需创建自己的根CA以避免此问题。
- 使用OpenSSL生成根CA的公钥和私钥。
- 生成根CA后,可以使用其签署SSL证书。
- 创建SSL证书时,首先生成私钥,然后创建证书请求。
- 自签名证书不需要发送给CA,可以自己生成。
- 在Windows中安装根CA证书需将其保存为.crt文件并使用证书管理器安装。
- Firefox用户需将根CA证书添加到Firefox证书存储中。
- 在Linux中,将根CA证书复制到证书文件夹并更新CA证书存档。
❓
延伸问答
如何生成自签名证书?
首先需要创建自己的根CA,然后使用根CA签署SSL证书。可以使用OpenSSL生成根CA的公钥和私钥,并创建证书请求。
为什么需要创建自己的根CA?
创建自己的根CA可以避免自签名证书被标记为不安全,从而在本地环境中安全使用SSL证书。
在Windows中如何安装根CA证书?
将根CA证书保存为.rootCA.crt文件,然后使用Windows证书管理器安装该证书。
如何在Linux中信任自建的根CA?
将根CA证书复制到证书文件夹,并更新CA证书存档,使用命令cp rootCA.pem /usr/local/share/ca-certificates/和update-ca-certificates --fresh。
自签名证书的安全性如何?
自签名证书会被标记为不安全,因此需要创建自己的根CA来避免这种标记。
使用OpenSSL生成根CA的命令是什么?
生成根CA的命令为:openssl genrsa -out rootCA.key 2048 和 openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem。
➡️
