免费企业网站创建爱网

在 Linux 系统中，我们可以通过 OpenSSL 工具生成自签名的 HTTPS 证书，并将其配置到 Web 服务器（如 Nginx）中。以下是详细步骤：

一. 生成自签名 HTTPS 证书

1. 安装 OpenSSL：

   首先，确保你的系统上安装了OpenSSL，这是一个强大的加密工具，用于生成和管理SSL/TLS证书。大多数Linux发行版默认已经安装了OpenSSL。

   • 对于 Ubuntu/Debian 系统：

     sudo apt-get update
     sudo apt-get install openssl
     

   • 对于 CentOS/RHEL 系统：

     sudo yum install openssl
     

2. 生成私钥：

   使用OpenSSL生成一个RSA私钥。这个私钥将用于生成证书签名请求（CSR）和自签名的证书。

   • 使用以下命令生成一个 2048 位的私钥文件（例如 server.key）：

     openssl genpkey -algorithm RSA -out server.key
     

   • 或者使用旧版本的 OpenSSL：

     openssl genrsa -out server.key 2048
     

3. 生成证书签名请求 (CSR)：

   使用私钥创建一个证书签名请求。CSR包含了你的组织信息，这些信息将被包含在最终的证书中。

   • 使用私钥生成 CSR 文件（例如 server.csr）：

     openssl req -new -key server.key -out server.csr
     

   • 在生成过程中，系统会提示输入一些信息，如国家、组织名称、通用名称（域名）等。

4. 生成自签名证书：

   • 使用 CSR 和私钥生成自签名证书（例如 server.crt），有效期为 365 天：

     openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
     

二. 配置 Nginx 使用自签名证书

1. 创建 Nginx 配置文件：

   • 编辑 Nginx 的配置文件，添加以下内容：

     server {listen 443 ssl;server_name yourdomain.com;ssl_certificate /path/to/server.crt;ssl_certificate_key /path/to/server.key;location / {root /path/to/your/webroot;index index.html index.htm;}
     }
     

   • 将 yourdomain.com 替换为你的域名，/path/to/server.crt 和 /path/to/server.key 替换为证书和私钥文件的实际路径。

2. 重启 Nginx 服务：

   • 保存配置文件后，重启 Nginx 服务以使更改生效：

     sudo systemctl restart nginx
     

     或者：

     sudo service nginx restart
     

三. 注意事项

• 自签名证书在浏览器中会被视为不安全的，因为它们没有由受信任的证书颁发机构（CA）签名。因此，自签名证书通常仅用于开发环境或内部测试。
• 如果需要在生产环境中使用 HTTPS，建议购买由受信任 CA 签名的证书。
  • 自签名证书适合内部开发和测试环境，使用方便但安全性低，用户信任度低。
  • CA 签名证书适合生产环境和面向公众的网站，安全性高，用户信任度高，但需要付费。

以下是自签名证书和 CA 签名证书的区别：