边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 配置Web防护策略
    • 托管规则
    • CC 攻击防护
    • 带宽滥用防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • 双向认证
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
    • 引用
      • 使用OpenSSL生成自签名证书
      • 证书格式要求
    • 使用无密钥证书
文档概览/
边缘安全/
SSL/TLS/
引用/
使用OpenSSL生成自签名证书/

使用OpenSSL生成自签名证书

所有的服务端和客户端证书一般情况下都需要向权威 CA 证书机构去申请,以保障能够被不同的操作系统和浏览器信任,CA 机构一般会收取一定的证书费用。如果您当前只是需要一本 HTTPS 证书进行测试使用,或者在企业内部使用,也可以自行通过 OpenSSL 颁发自签名证书。参考步骤如下:

步骤一:生成根证书

1. 通过以下命令创建根证书私钥,这将生成一个2048位的私钥,并将其保存到 .key 文件中。
openssl genrsa -out root.key 2048
2. 根据根证书私钥,生成证书签名请求文件(CSR)。
openssl req -new -key root.key -out root.csr
在生成 CSR 的过程中,需要提供组织名、公共名称等信息,可以根据实际使用情况填写。
3. 执行以下命令,创建根证书。
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650
即可得到一个有效期为10年的根证书 server.crt,后续可以用该根证书自行签发所需要的服务端证书和客户端证书。

步骤二:签发证书

以签发一本服务端证书为例,您可以通过 步骤一 生成的根证书,开始为您自签发证书:
1. 生成服务端证书的私钥。
openssl genrsa -out server.key 2048
2. 根据服务端证书私钥,生成证书签名请求文件(CSR)。
openssl req -new -out server.csr -key server.key
在生成 CSR 的过程中,与根证书一样,需要提供组织名、公共名称等信息,可以根据实际使用情况填写。
3. 生成服务端公钥证书。
openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

通过上述三个步骤,您将获得有效期为10年的自签名服务端证书 server.crt 和 server.key。您可以重复这些步骤,使用同一根证书继续生成其他所需的服务端证书或客户端证书。