可以自己生成SSL證書嗎?可以,但是自己制作的證書,證書頒發(fā)者是自己,這樣的證書即為根證書;由證書頒發(fā)者(CA機(jī)構(gòu))頒發(fā)的證書,CA機(jī)構(gòu)經(jīng)過了國際webtrust認(rèn)證和電子簽發(fā)法許可。
如果還是想自己生成,一般情況下,能找到可用的證書,可以直接使用,只不過會因證書的某些信息不正確或與部署證書的主機(jī)不匹配,導(dǎo)致瀏覽器提示證書無效,但并不影響使用。
需要手工生成證書的情況:找不到可用的證書;需要配置雙向SSL,但缺少客戶端證書;需要對證書作特別定制。
首先,無論是在Linux下還是在Windows下的Cygwin中,進(jìn)行操作前都需確認(rèn)已安裝OpenSSL軟件包。
1.創(chuàng)建根證書密鑰文件(自己做CA)root.key;創(chuàng)建根證書的申請文件root.csr;創(chuàng)建一個(gè)自當(dāng)前日期起為期十年的根證書root.crt。
2.創(chuàng)建服務(wù)器證書密鑰server.key;創(chuàng)建服務(wù)器證書的申請文件server.csr;創(chuàng)建自當(dāng)前日期起有效期為期兩年的服務(wù)器證書server.crt。
3.創(chuàng)建客戶端證書密鑰文件client.key;創(chuàng)建客戶端證書的申請文件client.csr;創(chuàng)建一個(gè)自當(dāng)前日期起有效期為兩年的客戶端證書client.crt。
4.將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合并成客戶端證書安裝包c(diǎn)lient.pfx;保存生成的文件備用,其中server.crt和server.key是配置單向SSL時(shí)需要使用的證書文件,client.crt是配置雙向SSL時(shí)需要使用的證書文件,client.pfx是配置雙向SSL時(shí)需要客戶端安裝的證書文件。
.crt文件和.key可以合到一個(gè)文件里面,把2個(gè)文件合成了一個(gè).pem文件。(直接拷貝過去就可以)
以上是域名頻道關(guān)于自己生成SSL證書的介紹,不想經(jīng)過繁雜流程的話,可在域名頻道平臺一鍵申請,輕松實(shí)現(xiàn)網(wǎng)站與Web應(yīng)用的HTTPS加密部署。