首页stepfeng制作自己的专属签名 (自签名ca证书如何写入硬件)

制作自己的专属签名 (自签名ca证书如何写入硬件)

🏷️ stepfeng ✍️ 站在巨人的肩上 📅 2026-03-18T19:18:44+00:00

文章里采用自签名CA证书,签发一个应用证书,并配置到nginx中,通过浏览器访问nginx来验证结果,证书制作工具采用openssl,并在centos 7.9上验证通过。

制作CA根证书

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=8.142.18.3" -days 36500 -out ca.crt

8.142.18.3这个IP可以根据自己需要修改,不一定是IP地址啊。

执行成功后,在命令执行目录会看到如下文件。

自签名证书和ca证书,制作自己的专属签名

CA根证书

ca.crt就是我们自制的根证书,ca.key是证书的私钥。

制作应用证书

这里我们制作一个证书,并把证书配置到nginx中,验证一下结果。

1.创建配置文件

先创建一个x509 v3配置文件nginx_ssl.cnf

vi nginx_ssl.cnf

[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[ req_distinguished_name ]


[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
IP.1 = 192.168.0.70
IP.2 = 192.168.0.114
IP.3 = 192.168.0.247
IP.4 = 8.142.18.3
DNS.1 = feng01
DNS.2 = feng02
DNS.3 = feng03

IP.4 = 8.142.18.3,这里配置服务器的IP地址,DNS.x配置域名。

2.创建应用证书

//应用私钥
openssl genrsa -out nginx_server.key 2048
//CSR 证书签名申请
openssl req -new -key  nginx_server.key -config nginx_ssl.cnf -subj "/CN=nginx-server" -out nginx_server.csr
//使用根证书签名的应用证书
openssl x509 -req -in nginx_server.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile nginx_ssl.cnf -out nginx_server.crt

执行成功后,在命令执行目录会看到如下文件。

自签名证书和ca证书,制作自己的专属签名

制作应用证书

nginx_server.crt是我们的应用证书,nginx_server.key是我们应用证书的私钥。

3.修改nginx配置文件

如果证书存放在nginx的conf文件夹下面,则可以直接用文件的名字;否则需要配置文件所在的绝对路径,如:/root/pki/nginx_server.crt

vi nginx.conf

server {
        listen       80 ssl;
        server_name  localhost;

        ssl_certificate      /root/pki/nginx_server.crt;
        ssl_certificate_key  /root/pki/nginx_server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

主要看第5,6行配置,修改完nginx.conf, 不要忘记执行./nginx -s reload

4.将自制的根证书导入到测试机

将根证书ca.crt拷贝到另一台计算机上,最好是window系统的,双击证书--》安装证书--》本地计算机--》下一步--》将所有的证书都放入下列存储(P)--》浏览--》第三方根证书颁发机构--》确定--》下一步--完成,如下图。

自签名证书和ca证书,制作自己的专属签名

在客户端机器上导入根证书

5.使用浏览器访问

在导入根证书的机器上,打开浏览器,输入你的nginx的IP或域名进行访问。

我这里输入的是https://8.142.106.41:80,效果图如下。

自签名证书和ca证书,制作自己的专属签名

使用chrome浏览器访问效果

6.总结

生成SSL证书我们首先要具备:独立公网IP地址或者域名,才可以生成被浏览器信任的SSL证书。普遍都用域名来生成SSL证书。将域名或者公网IP地址,提交到第三方证书的管理机构,申请SSL证书,每个第三方证书管理机构都有个根证书,而且这个证书被操作系统厂商和浏览器厂商认可的,内置到系统里,这样使用这些机构签发的证书,就被认为是安全的,我们自签发的证书,没有内置的操作系统中,没有办法大面积分发到客户端用户,这就是证书管理机构存在的意义,记得12306网站早期就是手动导入根证书。

参考链接:

https://www.cnblogs.com/liyulong1982/p/6106129.html