如何轻松生成自签SSL证书，一招解决所有加密烦恼？

大家好啊， 今天来聊聊SSL证书这个东西，搞得我头都大了反正就是搞网站要用的那个加密的东西，对吧？然后听说有个什么自签证书， 梳理梳理。 不用花钱就能搞，我就研究了一下后来啊踩了好多坑，现在分享给大家，你们别像我一样傻。

准备工作？我也不知道要准备啥反正先装个OpenSSL

先说说你得有个OpenSSL，这个玩意儿好像电脑里都有吧？你可以在那个黑乎乎的窗口里输openssl version， 看看有没有反应，要是说“command not found”，那就说明没装，得装一下。装法嘛，Windows我不知道，Mac和Linux好像有个什么包管理器，apt？brew？反正你搜搜怎么装OpenSSL，装好了就行，别管版本，能打开就行。我一开始装了个老版本的，后来啊搞半天不对，后来重新装了个新的才行，所以版本还是要注意一下别太老了。

第一步：搞个私钥文件， 这个很重要丢了就完了

然后呢，你要生成一个私钥，这个私钥就像你的密码，不能给别人看。打开终端， 到你放文件的文件夹，输openssl genrsa -out mykey 2048，这个2048我也不知道啥意思，反正人家说2048位平安。 尊嘟假嘟？ 输完回车， 就会有个mykey文件，这个文件你要藏好，别让别人看到，不然别人就能娱乐你的网站了我上次不小心删了又重新搞了一遍，烦死了。对了私钥文件名别用中文，不然会报错，我试过输半天都不行，后来改成英文就好了。

第二步：搞个CSR， 就是申请证书的那个东西

有了私钥，就可以搞CSR了。输openssl req -new -key mykey -out my.csr， 然后它会问你一堆问题，什么国家啊、省份啊、城市啊、组织名称啊，这些你随便填就行，但是有个Common Name很重要，就是你网站的域名，比如localhost或者你内部服务器的地址，要是填错了证书就不认了。我当时就填错了搞了半天连不上，后来才发现是域名没对。邮箱可以填假的，反正内部用，没人看。其他信息不想填就直接回车跳过我一开始都填了后来发现没必要，麻烦，搞起来。。

第三步：自签证书， 就是自己给自己发证，是不是很酷

然后就可以签证书了输openssl x509 -req -days 365 -in my.csr -signkey mykey -out mycert.crt，这个365是一年，你想多长就改这个数字，不过我觉得一年就够了反正到时候再重新搞。输完就会有个mycert.crt文件，这就是你的证书了。签完证书后那个my.csr文件就没用了可以删了占地方。我一开始没删，后来文件多了找半天才想起来可以删。

第四步：把证书放到服务器上， 然后试试能不能用

把mycert.crt和mykey放到服务器的某个地方，比如nginx的conf目录，然后改nginx的配置文件，加上ssl_certificate mycert.crt;ssl_certificate_key mykey;，然后重启nginx。这时候你用浏览器访问， 别纠结... 会提示“证书不受信任”，这个正常，主要原因是是自己签的，你点“高级”然后“继续访问”就行，要是看到地址栏有个小锁，就说明成功了。我当时搞了好久，以为没成功，其实就是要手动点一下。浏览器可能会报错，比如“连接不平安”，你别管它，内部测试用没事。

命令行验证证书信息， 这个高级一点，我也不会

你还可以用命令看看证书对不对，输openssl x509 -in mycert.crt -noout -text，就会显示证书的详细信息，比如有效期啊、域名啊什么的，你可以看看和填的是不是一样。 卷不动了。 我当时看了一遍，发现域名是对的，就放心了。还有个命令openssl s_client -connect 域名:443， 可以测试连接，我试了一下好像能连上，但具体啥意思我也不懂，反正能连就行。

注意：这个证书不能随便用， 不然会出事的

恕我直言... 这个自签证书只能自己用，比如本地测试、公司内部系统，绝对不能放到网上让别人访问，不然浏览器会提示凶险，用户都不敢进你的网站了我刚开始不知道，差点放到公网上，后来被人提醒才改过来幸好没出事。你说要是公网用会咋样？我也不知道，反正人家说不行，咱就听话吧。

再说说：证书会过期， 要记得换

这个证书只能用一年，到期了就不管用了网站就打不开了所以你要记得提前换。我上次就忘了后来啊公司内网系统全瘫痪了老板骂死了所以一定要设个提醒， 操作一波。 到期前一周就重新搞一个。还有私钥，最好每年换一次虽然我也不知道为啥，反正人家说平安。换私钥的时候，证书也要重新搞，别只换一个。

我踩过的坑， 你们别踩了

搞这个东西真的麻烦，我一开始连终端都不知道怎么开，找了半天教程才打开。然后命令老是输错， 少个空格都不行，比如openssl genrsa -out mykey 2048，我写成openssl genrsa -outmykey 2048，就没反应，后来才发现少了个空格，气死我了。还有文件路径， 一定要用绝对路径，不然找不到文件，我一开始用相对路径，搞了半天不对，后来改成绝对路径就好了，摆烂...。

一言难尽。 对了我听说SSL证书能防钓鱼，是不是真的啊？钓鱼网站好像也用证书，不过他们的是假的，我们的是真的自签的，对吧？还有，生成证书的时候，那个终端窗口黑乎乎的，我老是输错命令，多输几次就好了别像我一样急躁，慢慢来。反正就是多试，不行就删了重来反正也不费劲。

再说一遍步骤， 怕你们没看懂

1. 装OpenSSL，终端输openssl version看看有没有。 2. 生成私钥：openssl genrsa -out mykey 2048。 3. 生成CSR：openssl req -new -key mykey -out my.csr，填域名要正确。 4. 签证书：openssl x509 -req -days 365 -in my.csr -signkey mykey -out mycert.crt，PTSD了...。

5. 把证书和私钥放服务器，改配置，重启，浏览器访问，点“继续访问”。 就这么几步， 操作一波。 看起来简单，搞起来麻烦，我搞了两天才搞定，你们肯定比我快。

反正就是这些， 我也不知道我说清楚了没有，反正我是按照我自己的经验写的，你们要是哪里不懂，再问我，我也可能不会，哈哈。 自签证书搞起来也不难，就是麻烦一点，适合我们这种小公司或者自己测试用，大公司还是去买个正经的吧，省心。对了买证书要花钱吗？好像挺贵的，我们公司没买，就用自签的，反正内部用，没事。

再说说说一句， 加密很重要，别不当回事

也是醉了... 没有SSL证书，你的数据就像裸奔一样，别人随便就能看到，特别是密码什么的，太凶险了。我朋友的公司就是主要原因是没加密，密码被偷了损失了好几万，所以一定要搞SSL证书。自签的虽然不完美，但比没有强，至少本地加密了。好了不说了我要去检查我的证书有没有过期了别又忘了。

哦对了 生成证书的时候，那个Common Name一定要和访问的域名一样，比如你用localhost访问，就填localhost，用192.168.1.100访问，就填192.168.1.100，不然证书会不匹配，浏览器会报错。我一开始填的是www.example.com， 后来啊用localhost访问不了后来改了localhost才行，这个一定要记住。

随便再说点， 反正我也不知道写啥了

OpenSSL这玩意儿真的难用，命令又多又长，记不住。我写了个脚本，把这些命令都写进去，以后直接运行脚本就行了省得每次都输。你们也可以试试， 扎心了... 用shell脚本把命令串起来这样方便多了。我一开始不会写脚本，后来百度了一下简单的还是会写的，反正就是复制粘贴改改就行。

还有，证书生成后最好备份一下别删了万一服务器崩了还要重新搞，麻烦。我上次没备份，服务器重装系统， 走捷径。 证书没了又重新搞了一遍，浪费时间。所以备份很重要，U盘、云盘都行，存个地方。

好了 我真的没话说了这篇文章写得我头都大了你们要是看不懂，就多看几遍，或者去别的地方看看教程，反正我是把我踩过的坑都写出来了你们应该能避开。祝你们搞证书顺利，别像我一样折腾那么久，YYDS！。