如果您需要使用一张证书绑定多个域名或者通配符域名,免费证书无法满足该要求。免费证书无SLA保证,建议商业化的网站签发收费证书。
点击进入:阿里云SSL证书详细介绍,以及4大优势
更多参考地址: 阿里云官方(新用户需官网注册查看)
如果您需要使用一张证书绑定多个域名或者通配符域名,免费证书无法满足该要求。免费证书无SLA保证,建议商业化的网站签发收费证书。
点击进入:阿里云SSL证书详细介绍,以及4大优势
openssl生成的SSL证书也叫自签名SSL证书,签发很随意无任何安全保障,任何人都可以签发,容易被黑客仿冒利用。不是由正规的CA机构颁发的,所以不受浏览器的信任。 而付费的SSL证书,是由受信任的CA机构颁发的,申请时会对域名所有权和企业相关信息进行验证,安全级别是比较高的,而且备受各大浏览器的信任。 与此对比建议选购付费证书。
使用Open SSL生成CA证书
执行如下命令,在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。
$ sudo mkdir ca
$ cd ca
$ sudo mkdir newcerts private conf server
newcerts目录将用于存放CA签署过的数字证书。 private目录用于存放CA的私钥。 conf目录用于存放一些简化参数用的配置文件。 server目录存放服务器证书文件。
2.在conf目录下新建一个包含如下信息的openssl.conf文件。
[ ca ]
default_ca = foo
[ foo ]
dir = /root/ca
database = /root/ca/index.txt
new_certs_dir = /root/ca/newcerts
certificate = /root/ca/private/ca.crt
serial = /root/ca/serial
private_key = /root/ca/private/ca.key
RANDFILE = /root/ca/private/.rand
default_days = 365
default_crl_days= 30
default_md = md5
unique_subject = no
policy = policy_any
[ policy_any ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = match
localityName = optional
commonName = supplied
emailAddress = optional
3.执行如下命令,生成私钥key文件。
$ cd /root/ca
$ sudo openssl genrsa -out private/ca.key
执行结果如下图所示。
4.执行如下命令,按照提示输入所需信息,然后按下回车键生成证书请求csr文件。
$ sudo openssl req -new -key private/ca.key -out private/ca.csr
说明 Common Name需要输入负载均衡的域名。
5.执行如下命令,生成凭证crt文件。
$ sudo openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
6.执行如下命令,为CA的key设置起始序列号,可以是任意四个字符。
$ sudo echo FACE > serial
7.执行如下命令,创建CA键库。
$ sudo touch index.txt
8.执行如下命令,为移除客户端证书创建一个证书撤销列表。
$ sudo openssl ca -gencrl -out /root/ca/private/ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf"
输出为:
Using configuration from /root/ca/conf/openssl.conf
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。