openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout www.example.com.key -out www.example.com.crt
生成自签名证书说明:
openssl req -x509:生成自签名证书-nodes:不加密私钥-days 365:证书有效期为 365 天-newkey rsa:2048:生成 2048 位的 RSA 私钥-keyout www.example.com.key:私钥文件-out www.example.com.crt:证书文件生成自签名证书原理:
openssl req -x509 命令用于生成自签名证书,自签名证书由自己签发,不需要证书颁发机构(CA)签发。自签名证书适用于测试环境,不适用于生产环境。
ssl_certificate www.example.com.chained.crt;
证书链说明:
www.example.com.chained.crt:证书链文件证书链原理: 证书链是由多个证书组成的链,包括服务器证书、中间证书和根证书。证书链用于验证服务器的身份,客户端可以使用证书链验证服务器的身份。
-----BEGIN CERTIFICATE-----
www.example.com.crt
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate.crt
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root.crt
-----END CERTIFICATE-----
证书链格式说明:
证书链格式原理: 证书链文件包含多个证书,每个证书之间用空行分隔。证书顺序为服务器证书、中间证书、根证书。
openssl x509 -in www.example.com.crt -text -noout
openssl x509 -in www.example.com.crt -noout -dates
证书验证说明:
openssl x509 -in www.example.com.crt -text -noout:查看证书详细信息openssl x509 -in www.example.com.crt -noout -dates:查看证书有效期证书验证原理:
openssl x509 命令用于查看证书信息,可以查看证书详细信息、证书有效期等。
| 证书类型 | 说明 | 适用场景 |
|---|---|---|
| DV 证书 | 域名验证证书 | 个人网站、小型网站 |
| OV 证书 | 组织验证证书 | 企业网站、中型网站 |
| EV 证书 | 扩展验证证书 | 大型企业网站、电商平台 |
证书类型原理: DV 证书只验证域名所有权,OV 证书验证域名所有权和组织信息,EV 证书验证域名所有权、组织信息和法律信息。
证书颁发机构(CA)是签发证书的机构,常见的证书颁发机构有:
证书颁发机构原理: 证书颁发机构(CA)是签发证书的机构,客户端可以使用证书颁发机构的根证书验证服务器的身份。