自簽名SSL證書創建的步驟:
第1步:生成私鑰
使用openssl工具生成壹個RSA私鑰
說明:生成rsa私鑰,des3算法,2048位強度,server.key是秘鑰文件名。
註意:生成私鑰,需要提供壹個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持壹致,否則會引起瀏覽器警告。
第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定壹個密碼。而這個密碼會帶來壹個副作用,那就是在每次Apache啟動Web服務器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
第4步:生成自簽名證書
如果妳不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麽,現在便可以著手生成壹個自簽名的證書了。
需要註意的是,在使用自簽名的臨時證書時,瀏覽器會提示證書的頒發機構是未知的。
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如服務器認證,客戶端認證,或者簽署其他證書。當系統收到壹份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
以上就是自簽名SSL證書申請的全部步驟,但是不建議大家使用自簽名SSL證書,因為它不受任何監督,任何人都可以給自己頒發,基本沒有安全性可言,所以還是建議選擇權威的CA機構頒發的SSL證書,像Symantec、GeoTrust、Comodo以及RapidSSL等都是不錯的選擇。