我的书签
添加书签
移除书签获取 SSL/TLS 证书
您可通过以下两种方式获取相关 SSL/TLS 证书:
- 自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。
- 申请或购买证书:您可以向 Let’s Encrypt
(opens new window) 或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window) 等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
创建自签名证书
前置准备
已安装 OpenSSL (opens new window)。
- 运行以下命令生成密钥对,该命令随即会提示您输入密钥保护密码,后续在生成、签发、验证证书时均需要此密码。请妥善相关密钥及密码。
openssl genrsa -des3 -out rootCA.key 2048
- 运行以下命令通过密钥对中的私有密钥生成 CA 证书,该命令随即会提示您设置证书的唯一标识名称 DN(Distinguished Name)。
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt
- 使用步骤 2 中的 CA 证书来签发服务端证书,用于验证服务器所有者的身份,服务端证书通常颁发给主机名、服务器名称或域名(如 www.emqx.com)。我们需要 CA 密钥(rootCA.key)、CA 证书( rootCA.crt)和服务端 CSR (server.csr)生成服务端证书。
3.1 运行以下命令生成服务端证书密钥对:
openssl genrsa -out server.key 2048
3.2 运行以下命令使用 Server 密钥对制作 CSR。经 CA 根证书私钥签名后,CSR 可生成颁发给用户的证书公钥文件。该命令随即也会要求设置证书的唯一标识名称。
openssl req -new -key server.key -out server.csr
系统将提示以下信息,对应的含义如下:
You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]: # 国家/地区State or Province Name (full name) [Some-State]: # 省/市Locality Name (eg, city) []: # 城市Organization Name (eg, company) [Internet Widgits Pty Ltd]: # 组织机构(或公司名),如 EMQOrganizational Unit Name (eg, section) []: # 机构部门,如 EMQXCommon Name (e.g. server FQDN or YOUR name) []: # 通用名称,此处应当设置为服务器域名如 mqtt.emqx.com...
3.3 生成服务端证书,此时也可指定证书的有效天数,此处为 365 天:
openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 365
至此您就得到了一组证书。
.├── rootCA.crt├── rootCA.key├── rootCA.srl├── server.crt├── server.csr└── server.key
