首先生成自签名SSL证书并配置Nginx启用HTTPS。使用OpenSSL生成私钥和证书,或分步创建私钥、CSR并自签名;将证书文件复制到/etc/nginx/ssl/,在Nginx配置中指定证书路径并重启服务;最后通过curl或浏览器验证证书有效性,确认自签名成功且可访问。
如果您需要为本地服务器或测试环境配置HTTPS服务,但无法获取由权威机构签发的SSL证书,则可以创建自签名SSL证书来实现加密通信。以下是生成自签名SSL证书的具体操作步骤。
本文运行环境:Dell XPS 13,Ubuntu 22.04
一、使用OpenSSL生成私钥和自签名证书
通过OpenSSL工具可一次性生成RSA私钥及对应的自签名证书,适用于快速搭建测试环境。该方法将创建一个有效期为365天的证书文件。
1、打开终端,执行以下命令生成私钥并创建自签名证书:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
2、根据提示输入国家、组织名称、通用名称(建议填写域名或IP)等信息。
3、命令执行完成后,当前目录下将生成key.pem(私钥)和cert.pem(证书)两个文件。
二、分步生成私钥与证书签名请求(CSR)
此方法将先生成私钥,再创建证书签名请求,并最终自行签署证书,适合需要更精细控制字段内容的场景。
1、生成4096位RSA私钥:
openssl genpkey -algorithm RSA -out server.key -pkeyopt rsa_keygen_bits:4096
2、基于私钥生成CSR文件:
openssl req -new -key server.key -out server.csr
3、使用私钥对CSR进行自签名,生成证书:
openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365
三、配置Nginx使用自签名证书
将生成的证书部署到Nginx服务器中,使其支持HTTPS协议访问。需确保已安装Nginx且配置文件路径正确。
1、将server.crt和server.key复制到/etc/nginx/ssl/目录:
sudo mkdir -p /etc/nginx/ssl && sudo cp server.crt server.key /etc/nginx/ssl/
2、编辑站点配置文件,如/etc/nginx/sites-available/default,在server块中添加SSL监听和证书路径:
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
3、重启Nginx服务以应用更改:
sudo systemctl restart nginx
四、验证证书有效性
通过浏览器或命令行工具检查证书是否被正确加载,并确认其基本信息无误。
1、使用curl命令查看远程HTTPS服务返回的证书信息:
curl -v https://your-domain-or-ip
2、观察输出内容中是否包含"subject"与"issuer"一致的信息,表明为自签名证书。
3、若使用浏览器访问,地址栏会显示不安全警告,点击详情可查看并手动信任该证书。
