1 环境介绍
| 操作系统 | IP地址 | 主机名 | NGINX版本 | 角色 |
|---|---|---|---|---|
| Rocky 9.6 | 192.168.8.10 | loadbalance.luovip.cn | 1.26.2 | 负载均衡 |
在互联网安全性日益重要的今天,使用 SSL/TLS 证书来加密数据传输已经成为保护用户隐私和数据完整性的标准做法。自签名证书是一种简便的方法,用于开发、测试和内部应用中,提供加密通信,而不依赖于第三方认证机构(CA)。尽管自签名证书在生产环境中的使用受限,但它们在许多场景中依然具有重要价值。
这个文章主要演示如何生成和使用自签名证书,帮助在实际项目中更好地理解和应用这一技术。通过详细的步骤和示例,一步步完成从生成私钥到配置 Web 服务器使用自签名证书的整个过程。
2 什么是自签名证书?
自签名证书是一种由用户自己创建并签署的 SSL/TLS 证书。与由认证机构(CA)签发的证书不同,自签名证书不依赖于第三方的验证和信任链,完全用自己的资源实现。
2.1 自签名证书的优势
成本低:生成自签名证书是免费的,不需要支付认证机构的费用。
立即可用:不需要等待第三方审核和签发,可以立即生成和使用。
适用于开发和测试:在开发和测试环境中,自签名证书提供了便捷的加密解决方案。
2.2 自签名证书的劣势
信任问题:由于自签名证书没有经过第三方认证机构的验证,浏览器会警告用户该证书不被信任,可能会影响用户体验,需要在用户端导入根证书才可以解决警告问题。
受限于内部使用:适用于开发、测试和内部应用,不建议在生产环境中使用。
通过理解自签名证书的概念和工作原理,可以更好地在合适的场景中应用它们。在接下来的部分中,将详细介绍如何生成和使用自签名证书。
3 生成根证书颁发机构(CA)
有的人直接就生成服务器证书,这是不对的,需要先生成根证书颁发机构,然后用这个CA去签名证书,以后可以让客户端信任这个CA,所有用这个CA生产的证书都会自动信任。
这条命令生成一个 4096 位的 RSA 私钥,并将其存储在 /etc/pki/tls/private/selfsignroot.key 文件中。私钥是用于签署证书的核心部分。
openssl genrsa -out /etc/pki/tls/private/selfsignroot.key 4096
[root@loadbalance ~]# openssl genrsa -out /etc/pki/tls/private/selfsignroot.key 4096 下面这条命令生成一个自签名证书,并将其存储在 /etc/pki/ca-trust/source/anchors/selfsignroot.crt文件中。以下是各参数的解释:
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=Root" -key /etc/pki/tls/private/selfsignroot.key -out /etc/pki/ca-trust/source/anchors/selfsignroot.crt
[root@loadbalance ~]# openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=Root" -key /etc/pki/tls/private/selfsignroot.key -out /etc/pki/ca-trust/source/anchors/selfsignroot.crt-x509:生成一个自签名证书,而不是证书请求(CSR)。
-new:生成一个新的证书。
-nodes:不加密私钥文件。
-sha512:使用 SHA-512 哈希算法。
-days 3650:证书有效期为 3650 天(约 10 年)。
-subj “/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=Root”:指定证书的主题信息,包括国家(C)、州/省(ST)、城市(L)、组织(O)、组织单位(OU)和通用名称(CN)。
-key /etc/pki/tls/private/selfsignroot.key:使用之前生成的私钥。
-out /etc/pki/ca-trust/source/anchors/selfsignroot.crt:指定输出的证书文件路径。
用openssl命令查询证书文件,也可以复制到Windows上,直接双击也可以看。
openssl x509 -in /etc/pki/ca-trust/source/anchors/selfsignroot.crt -text -noout
[root@loadbalance ~]# openssl x509 -in /etc/pki/ca-trust/source/anchors/selfsignroot.crt -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
71:2a:d1:c5:6e:9c:22:4a:97:37:ba:01:b3:f5:84:2f:03:90:e6:e2
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=CN, ST=SiChuan, L=Chengdu, O=Company, OU=CD, CN=Root
Validity
Not Before: Sep 19 05:50:23 2025 GMT
Not After : Sep 17 05:50:23 2035 GMT
Subject: C=CN, ST=SiChuan, L=Chengdu, O=Company, OU=CD, CN=Root
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
......运行以下命令更新 CA 信任存储库,使系统信任新的根证书:
[root@loadbalance ~]# update-ca-trust extract4 签发服务器证书
4.1 生成服务器私钥文件
openssl genrsa -out /etc/pki/tls/private/nginx.key 4096
[root@loadbalance ~]# openssl genrsa -out /etc/pki/tls/private/nginx.key 40964.2 生成证书请求文件
给loadbalance.luovip.cn域名申请一个证书
openssl req -sha512 -new -subj "/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=loadbalance.luovip.cn" -key /etc/pki/tls/private/nginx.key -out nginx.csr
[root@loadbalance ~]# openssl req -sha512 -new -subj "/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=loadbalance.luovip.cn" -key /etc/pki/tls/private/nginx.key -out nginx.csropenssl req -sha512 -new:使用 SHA-512 哈希算法生成一个新的 CSR。
-subj “/C=CN/ST=SiChuan/L=Chengdu/O=Company/OU=CD/CN=loadbalance.luovip.cn”:指定 CSR 的主题信息,包括:
/C=CN:国家代码,CN 表示中国。
/ST=SiChuan:州/省,SiChuan 表示四川。
/L=Chengdu:城市,Chengdu 表示成都。
/O=Company:组织名称,Company 表示公司。
/OU=CD:组织单位,CD 表示成都分部。
/CN=loadbalance.luovip.cn:通用名称,表示证书的域名。
-key /etc/pki/tls/private/nginx.key:使用之前生成的私钥,存储在 /etc/pki/tls/private/nginx.key 文件中。
-out nginx.csr:指定输出的 CSR 文件路径为 nginx.csr。
除了这种简单的申请之外,还可以生成扩展文件,以支持更多的证书属性,最常用的是给多个域名或IP同时验证合法身份,也就是给证书添加备用名称
DNS.1 = web1.luovip.cn:指定第一个 DNS 名称为 web1.luovip.cn。
DNS.2 = web2.luovip.cn:指定第二个 DNS 名称为 web2.luovip.cn。
IP.1 = 192.168.8.10:指定第一个 IP 地址为 192.168.8.10。
IP.2 = 192.168.8.11:指定第二个 IP 地址为 192.168.8.11。
cat > certs.cnf << EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = web1.luovip.cn
DNS.2 = web2.luovip.cn
IP.1 = 192.168.8.10
IP.2 = 192.168.8.11
EOF4.3 最终签发证书
命令解释:
1.openssl x509 -req -in nginx.csr:
使用 CSR(nginx.csr)生成证书。
-req:表明输入是一个证书签名请求。
2.-CA /etc/pki/ca-trust/source/anchors/selfsignroot.crt:
使用自签名根证书(selfsignroot.crt)作为 CA 来签署 CSR。
3.-CAkey /etc/pki/tls/private/selfsignroot.key:
使用自签名根证书对应的私钥(selfsignroot.key)进行签署。
4.-CAcreateserial:
自动创建序列号文件。如果没有指定 -CAserial 文件,这个选项将创建一个新的序列号文件。
5.-out /etc/pki/tls/certs/nginx.crt:
指定生成的服务器证书输出路径为 nginx.crt。
6.-days 3650:
指定证书的有效期为 3650 天(约 10 年)。
7.-extensions v3_req -extfile certs.cnf:
使用 certs.cnf 文件中定义的 v3_req 扩展来生成证书。这确保了证书包含你在 certs.cnf 文件中指定的扩展,例如 subjectAltName。
openssl x509 -req -in nginx.csr \
-CA /etc/pki/ca-trust/source/anchors/selfsignroot.crt \
-CAkey /etc/pki/tls/private/selfsignroot.key -CAcreateserial \
-out /etc/pki/tls/certs/nginx.crt \
-days 3650 -extensions v3_req -extfile certs.cnf
[root@loadbalance ~]# openssl x509 -req -in nginx.csr \
-CA /etc/pki/ca-trust/source/anchors/selfsignroot.crt \
-CAkey /etc/pki/tls/private/selfsignroot.key -CAcreateserial \
-out /etc/pki/tls/certs/nginx.crt \
-days 3650 -extensions v3_req -extfile certs.cnf
Certificate request self-signature ok
subject=C=CN, ST=SiChuan, L=Chengdu, O=Company, OU=CD, CN=loadbalance.luovip.cn检查一下,证书是否包括多个域名和IP,没有问题的话,这个证书可同时给多个域名和IP验证:
[root@loadbalance ~]# openssl x509 -in /etc/pki/tls/certs/nginx.crt -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
7b:1c:10:bc:d9:85:4d:e1:12:7e:d0:57:e5:77:27:1a:bf:d1:cc:5b
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=SiChuan, L=Chengdu, O=Company, OU=CD, CN=Root
Validity
Not Before: Sep 19 07:10:50 2025 GMT
Not After : Sep 17 07:10:50 2035 GMT
Subject: C=CN, ST=SiChuan, L=Chengdu, O=Company, OU=CD, CN=loadbalance.luovip.cn
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:a8:3c:d2:cd:0b:e6:bc:48:b0:13:a6:63:76:ca:
fb:56:5e:2e:d0:78:c4:4a:e4:0a:63:dc:2a:a4:82:
57:4a:70:c4:98:fa:e7:60:1f:cb:fd:13:4f:e1:5b:
97:ac:be:1b:a9:99:39:08:92:3d:b8:0b:bc:43:6c:
03:79:41:92:5d:05:9f:e4:ce:9b:51:e2:81:71:40:
31:06:22:9b:ef:07:17:0e:46:e4:0a:f1:cd:7f:ec:
c8:d9:96:30:95:31:30:15:bb:ae:9f:d2:a2:b5:5c:
e5:e7:9f:4c:b8:ce:8c:2a:61:87:cd:7f:c8:b8:d6:
ca:c7:f1:10:82:f9:0d:80:39:bc:81:f7:e6:db:b7:
13:46:90:39:07:6b:43:f4:88:4d:92:69:2d:94:68:
5b:49:f5:21:09:25:89:2e:45:51:77:c7:8c:99:8d:
08:dc:30:f7:e9:ff:a1:d4:52:ed:ab:65:21:98:98:
16:79:be:f8:3f:43:92:ea:f7:94:a4:cb:e6:f6:69:
32:51:89:88:ac:da:44:cc:78:36:4d:e9:7b:bd:95:
04:b1:16:66:ed:3d:b0:d7:88:7c:1b:48:e9:3c:96:
c5:85:51:f3:e8:68:3f:62:3d:21:6c:11:6e:c8:50:
b5:d1:4f:60:a9:db:76:b8:73:07:97:31:3a:d7:ce:
9e:67:2b:83:54:50:61:0d:70:5a:1c:08:97:4b:17:
91:6b:fb:92:b6:1a:61:c7:2c:f3:6c:5e:e3:ef:62:
b0:fb:ee:51:f9:7b:bb:30:2e:bb:0e:70:5f:60:b2:
72:00:28:bf:3a:54:6d:33:4a:cc:1a:8c:92:43:7b:
a1:92:fc:8a:b8:05:1c:ca:a7:f7:03:e8:c8:0c:fc:
23:d3:89:d9:5c:9e:2c:40:cf:33:be:8c:de:98:d0:
01:c3:cb:ea:b2:92:fd:c6:6c:07:ba:0e:aa:71:46:
3d:4a:7d:c7:d3:1d:71:b9:fa:4b:01:48:78:fc:e8:
5c:e3:05:21:02:de:26:a4:32:97:30:8c:01:d4:61:
8e:83:94:5f:0c:57:79:0a:5a:7c:a9:fc:0b:ae:16:
d8:36:d1:a6:9c:c4:4f:73:01:de:23:77:a4:2b:ca:
3c:1b:37:48:9d:ac:26:11:5f:8e:d0:d3:f6:22:75:
8e:69:ea:8f:d4:8c:58:1e:d0:e1:0e:bb:a6:1c:c6:
bf:87:b3:b6:7f:89:70:bd:f7:54:62:7b:51:24:bc:
ae:86:c5:e2:75:c5:a4:91:32:87:2b:c6:fa:71:f0:
c2:34:ae:3f:cc:7b:60:8f:b6:07:10:f8:cf:3a:21:
2f:8e:42:ab:05:07:a3:f0:63:47:d7:76:69:0d:02:
d8:a9:e7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:web1.luovip.cn, DNS:web2.luovip.cn, IP Address:192.168.8.10, IP Address:192.168.8.11
X509v3 Subject Key Identifier:
E8:83:51:26:75:9F:42:82:43:37:20:B3:AC:57:22:BD:42:87:18:84
X509v3 Authority Key Identifier:
BF:61:73:CD:40:12:CE:CB:3C:D3:08:83:1F:C9:79:E0:3A:D9:BE:25
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
84:4f:41:66:a5:ad:da:84:5d:9a:0e:81:28:01:eb:16:47:1f:
8e:7c:f0:be:34:e9:00:65:e1:d0:5e:8c:e5:ca:df:0c:9f:1b:
27:bc:64:aa:e2:c8:43:9b:c4:33:08:d3:db:21:5a:53:85:cf:
b9:d7:cb:f3:c3:62:cb:53:a5:d9:76:58:7d:5e:97:63:19:18:
96:8e:3b:c4:ea:f0:ad:f5:af:16:6a:34:f4:a1:d8:21:1e:03:
62:86:ca:93:3a:3f:14:2c:58:8c:4e:c3:01:e6:b4:e3:37:8f:
71:a9:36:09:67:5c:c5:f6:de:a8:a8:8a:94:ea:e2:51:3c:2c:
9d:3d:e7:46:ea:dc:78:c4:6e:2b:f8:48:4f:79:57:88:f5:55:
53:84:73:bb:8d:4e:5c:51:4a:7c:e2:75:c6:75:b4:87:89:f4:
5c:9b:cc:4b:95:a0:44:e4:8f:8a:cd:e6:a8:d9:e0:36:5e:bb:
13:3a:78:bf:7f:50:a6:6b:62:96:df:52:1b:21:50:8d:f2:d1:
97:18:ac:77:4a:5f:0d:d9:e1:1f:75:ab:0a:1e:d7:04:06:d7:
86:4c:7a:5d:2b:2b:d2:e0:58:ef:c8:4b:09:50:18:a5:bb:9c:
12:f5:7a:46:f4:0c:5d:40:2f:51:e4:59:21:12:aa:86:89:cd:
f7:72:bc:4c:66:b4:40:72:2a:4f:05:e7:33:3b:13:1c:5b:92:
a0:ec:42:a4:aa:54:3c:3c:ae:91:50:0e:c2:02:14:5e:c5:72:
26:b5:06:2c:80:af:be:1e:4d:2e:63:07:30:99:ab:a4:82:f7:
48:22:fd:e3:d3:e4:87:e1:18:29:e6:d3:cc:97:8b:aa:63:91:
c3:38:5d:82:d8:4d:15:e5:14:2d:2c:bb:ac:7f:2d:2a:57:76:
02:5f:78:6c:81:4d:ea:58:6d:b2:3d:51:67:57:6a:46:40:f3:
50:f5:28:a4:19:cc:37:e0:ec:1a:61:3d:36:b4:0a:e3:4e:ee:
a9:b2:6e:7f:46:ed:b7:05:b8:71:96:cd:31:74:f9:4b:a4:10:
15:e7:a9:76:a9:14:dd:42:5f:f1:db:7e:7a:b6:1a:9e:69:02:
dc:71:8e:a1:ce:12:44:be:0d:d1:62:41:09:bf:32:a9:0e:6b:
3f:d0:c6:93:1f:0b:45:8c:40:88:f7:c5:62:3c:e9:a4:96:d8:
1a:72:5c:44:62:75:41:e1:97:e7:7b:5b:8f:1f:5d:e3:d5:83:
11:8d:a3:d7:0d:c1:f0:aa:93:f0:2c:4b:54:4b:d6:13:2a:57:
35:50:8f:d9:8d:a4:9c:5a:83:79:a2:df:0a:05:f5:b1:09:4e:
ea:9d:f2:1f:8a:2d:5d:8a
