【導讀】本文詳解OpenSSL命令行生成私鑰、CSR及自簽名證書三步法。適用于非生產場景下的本地調試與內網應用部署。
背景與現狀
企業在搭建Web服務原型或開展安全滲透測試前，常需啟用HTTPS協議驗證功能完整性。但正式商用證書采購周期長、配置門檻高。
OpenSSL作為開源加密工具套件，在Linux/macOS默認預裝率超68%（據2023年Stack Overflow Dev Survey）。它支持完整PKI流程模擬，是構建最小可行TLS鏈路的基礎能力。
技術與關聯
生成過程包含三個關鍵文件：
- 私鑰（key）：用于解密客戶端發送的會話密鑰；
- CSR（Certificate Signing Request）：含公鑰+域名標識，提交給CA機構審核依據；
- CRT（certificate）：最終被瀏覽器信任并加載的數字憑證。
其中自簽名證書雖不被公共根證書庫認可，但在可控網絡環境中完全可用。
建議與方案
推薦按如下順序執行命令（以example.com為例）：
生成RSA私鑰：openssl genrsa -out example.key 2048；
創建CSR請求：openssl req -new -key example.key -out example.csr；
簽署為CRT證書：openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt；
合并KEY+CRT供Nginx/Apache調用：cat example.key example.crt > fullchain.pem。
在此處添加配圖
延伸說明
若需更高安全性，請升級至ECDSA算法：
替換第一步為：openssl ecparam -genkey -name prime256v1 -noout -out example.ec.key；
ECC證書體積更小、握手更快，適合移動端接入密集型架構。