域名ssl證書(shū)可以自建嗎？OpenSSL自簽ssl證書(shū)用于

域名ssl證書(shū)可以自建嗎？SSL證書(shū)可以自己做嗎？答案肯定是可以的，但是自己做的SSL證書(shū)是不被瀏覽器信任的，主要用在本地測試學(xué)習。由證書(shū)頒發(fā)者（CA機構）頒發(fā)的SSL證書(shū)，CA機構經(jīng)過(guò)了國際webtrust認證和電子簽發(fā)法許可，這樣的證書(shū)才能被瀏覽器信任，而自建的SSL證書(shū)往往只是https化，但瀏覽器依然顯示連接不安全。如果覺(jué)得各云服務(wù)商平臺上的免費SSL證書(shū)不香，想自己折騰做一個(gè)SSL證書(shū)，這里老劉博客準備以下教程，使用OpenSSL自簽ssl證書(shū)用于網(wǎng)站https化，IE和Firefox瀏覽器可以正常安全訪(fǎng)問(wèn)。

這里，我們不探究域名SSL證書(shū)實(shí)現原理。我們要完成的任務(wù)是，自己充當CA機構，然后簽出證書(shū)供服務(wù)器使用。本次教程是在windows實(shí)現，實(shí)驗之前，確認自己的電腦中有openssl程序。如果沒(méi)有，老劉博客幫你準備了一個(gè)：http://download.okcoder.cn/openssl_create.zip。

第一步：生成CA證書(shū)

1、創(chuàng )建私鑰

openssl genrsa -out ca/ca-key.pem 1024

2、創(chuàng )建證書(shū)請求

openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem

3、自簽署證書(shū)，有效期10年（現在正規SSL證書(shū)有效期都是13個(gè)月了）

openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

4、將證書(shū)導出成瀏覽器支持的.p12格式 （這一步不需要，可以省略）

openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

創(chuàng )建之后，將這個(gè)根證書(shū)導入瀏覽器中（受信任的根證書(shū)頒發(fā)機構）：

IE：雙擊第4步生成的p12證書(shū)文件

Firefox：選項->隱私與安全 ->證書(shū)->查看證書(shū)->將ca-cert.pem導入“證書(shū)頒發(fā)機構”

Chrome：“菜單”設置->左上角”設置”->高級->隱私設置和安全性->證書(shū)管理->受信任的根證書(shū)頒發(fā)機構->導入ca-cert.pem證書(shū)文件

第二步：生成Server證書(shū)

1、創(chuàng )建私鑰

openssl genrsa -out server/server-key.pem 1024

2、創(chuàng )建證書(shū)請求

openssl req -new -out server/server-req.csr -key server/server-key.pem

（這一步，Common Name要填寫(xiě)自己的域名）

3、用自己的CA證書(shū)，簽署Server證書(shū)

openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

4、將證書(shū)導出成瀏覽器支持的.p12格式 （這一步不需要，可以省略）

openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

創(chuàng )建Server證書(shū)之后，與Ca證書(shū)合成完整的證書(shū)鏈：

cat server-cert.pem ca-cert.pem > full.pem

第三步：將Server證書(shū)布署到服務(wù)器上

server {
    listen 80;
    listen 443 ssl;
    server_name 域名;    #這里的域名要和Server證書(shū)域名對應
    index index.html index.htm index.php;
    root 站點(diǎn)根目錄;
    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

    ssl_certificate /path/to/full.pem;
    ssl_certificate_key /path/to/server-key.pem;

    ssl_prefer_server_ciphers on;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location ~ .*.(php|php5)?$
    {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        include fastcgi.conf;
    }
    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires 30d;
     }
    location ~ .*.(js|css)?$
    {
        expires 1h;
    }
}

到這里，OpenSSL自簽域名SSL證書(shū)可以使用了。

實(shí)驗結果：IE和Firefox都可以正常訪(fǎng)問(wèn)，但是Chrome卻一直無(wú)法識別自簽證書(shū)（NET::ERR_CERT_AUTHORITY_INVALID），如果有實(shí)驗成功的小伙伴歡迎留言。如果覺(jué)得太麻煩可以直接去UCloud云平臺免費申請一張域名SSL證書(shū)，教程參見(jiàn)《網(wǎng)站啟用https:UCloud優(yōu)刻得免費SSL證書(shū)申請與部署流程》。