生成私钥和csr:使用openssl genrsa生成私钥,再用openssl req -new -key生成csr并填写域名等信息;2. 自签证书:通过openssl x509 -req命令生成有效期365天的自签名证书,适用于测试环境;3. 申请正式证书:将csr提交至ca(如let’s encrypt或商业ca),完成域名验证后下载证书并合并证书链为fullchain.crt;4. 配置web服务器:在nginx或apache中指定ssl_certificate和ssl_certificate_key路径,启用443端口及tls协议并重启服务;5. 证书管理:使用openssl命令查看证书内容、验证私钥、比对证书与私钥匹配性、检查过期时间及转换格式;6. 安全建议:设置私钥权限为600,禁用旧版tls,定期更新证书,推荐结合certbot实现自动化申请与续签;最终需确保密钥生成、证书获取、服务器配置和定期维护全流程完整执行,以保障通信安全。
启用网络加密并使用 OpenSSL 管理证书,是保障 Web 服务、API 接口或内网通信安全的基本手段。以下是具体操作步骤和管理方法,适用于常见的 HTTPS 服务(如 Nginx、Apache)或自建 TLS 服务。
一、生成私钥和证书签名请求(CSR)
首先需要生成私钥和 CSR,用于申请或自签证书。
# 生成私钥(推荐 2048 位或 4096 位)openssl genrsa -out server.key 2048# 基于私钥生成 CSR(填写组织信息)openssl req -new -key server.key -out server.csr
执行第二条命令时会提示输入:
国家(如 CN)省份、城市组织名称常用名(Common Name):必须是域名,如
example.com
或
*.example.com
邮箱等信息
注意:私钥要严格保密,不要泄露或提交给第三方。
二、自签证书(适用于测试或内网)
如果用于测试环境或内部系统,可以直接自签证书:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
生成的
server.crt
就是自签名证书。客户端访问时需要手动信任该证书,否则会提示不安全。
飞书知识问答
飞书平台推出的AI知识库管理和智能搜索工具
45 查看详情
三、申请并配置正式 SSL 证书
如果是生产环境,建议使用 Let’s Encrypt 或商业 CA(如 DigiCert、阿里云、腾讯云)申请免费或付费证书。
提交 CSR 到 CA验证域名所有权(DNS 或文件验证)下载签发的证书(通常包含:
certificate.crt
、
ca-bundle.crt
)
合并证书链(如果需要):
cat certificate.crt ca-bundle.crt > fullchain.crt
四、在 Web 服务器中启用 HTTPS
Nginx 配置示例:
server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/fullchain.crt; ssl_certificate_key /path/to/server.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512; ssl_prefer_server_ciphers off; location / { proxy_pass http://backend; }}
重启 Nginx 生效:
nginx -t && nginx -s reload
Apache 配置示例:
ServerName example.com SSLEngine on SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key SSLCertificateChainFile /path/to/ca-bundle.crt DocumentRoot /var/www/html
启用 SSL 模块并重启:
a2enmod sslsystemctl restart apache2
五、OpenSSL 证书管理常用命令
查看证书内容@@######@@检查私钥是否正确@@######@@验证证书与私钥是否匹配
openssl x509 -in server.crt -text -noout
(两个输出应一致) || 检查证书过期时间 |
openssl rsa -in server.key -check
|| 转换证书格式(PEM → DER) |
openssl x509 -noout -modulus -in server.crt | openssl md5openssl rsa -noout -modulus -in server.key | openssl md5
|| PEM 转 PFX(用于客户端导入) |
openssl x509 -in server.crt -dates -noout
六、安全建议
私钥权限设为 600:
openssl x509 -in cert.pem -outform der -out cert.der
定期更新证书(Let’s Encrypt 有效期 90 天,建议自动续期)使用强加密套件,禁用 TLS 1.0/1.1可配合
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
实现自动申请和续签(Let’s Encrypt 官方工具)
基本上就这些。核心是:生成密钥 → 获取证书 → 正确配置服务器 → 定期维护。OpenSSL 是底层工具,灵活但需谨慎操作,生产环境建议结合自动化工具使用。
chmod 600 server.key
certbot
以上就是如何启用网络加密 openssl证书管理的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/442285.html
微信扫一扫 
支付宝扫一扫 
