¿Cómo generar un certificado SSL usted mismo y configurarlo en el servidor?

No funciona y el navegador no confiará en él. En cambio, añade muchos factores de inseguridad.

Pasos para crear un certificado autofirmado

Nota: Los siguientes pasos son solo para configurar certificados SSL necesarios para uso interno o pruebas.

Paso 1: Generar clave privada

Utilice la herramienta openssl para generar una clave privada RSA

$ openssl genrsa -des3 -out server.key 2048

Descripción: Genera clave privada rsa, algoritmo des3, potencia de 2048 bits, server.key es el nombre del archivo de clave secreta.

Nota: Para generar una clave privada, es necesario proporcionar una contraseña de al menos 4 dígitos.

Paso 2: Generar CSR (Solicitud de firma de certificado)

Después de generar la clave privada, puede crear el archivo csr.

Tienes dos opciones en este punto. Lo ideal sería enviar el certificado a una autoridad certificadora (CA) que, tras verificar la identidad del solicitante, emitirá un certificado firmado (muy caro). Además, si es solo para necesidades internas o de prueba, también puede usar OpenSSL para implementar la autofirma. Las operaciones específicas son las siguientes:

$ openssl req -new -key server.key -out. server.csr

Nota: Debe ingresar el país, la región, la ciudad, la organización, la unidad organizativa, el nombre común y el correo electrónico en orden. Entre ellos, Nombre común, puede escribir su propio nombre o nombre de dominio, si desea respaldar a la empresa) [Internet Widgits Pty Ltd]: joyios

Nombre de la unidad organizativa (por ejemplo, sección) []: info tecnología

Nombre común (por ejemplo, FQDN del servidor o SU nombre) []：demo.joyios.com

Dirección de correo electrónico []:liufan@joyios.com

Paso 3: Eliminar la contraseña privada en la clave

En el proceso de creación de la clave privada en el paso 1, se debe especificar una contraseña. Y esta contraseña traerá un efecto secundario, es decir, cada vez que Apache inicie el servidor web, se le pedirá que ingrese la contraseña, lo que obviamente es muy inconveniente. Para eliminar la contraseña de la clave privada, haga lo siguiente:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

Paso 4: Genere un certificado autofirmado

Si no desea pagarle a una CA para que lo firme o simplemente está probando una implementación específica de SSL. Entonces, ahora puedes comenzar a generar un certificado autofirmado.

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Explicación: hay información del titular del certificado en la clave pública de alguien. , así como la firma del firmante y otra información. Cuando el usuario instala el certificado, significa que confía en el certificado y posee la clave pública. El propósito se indicará en el certificado, como autenticación del servidor, autenticación del cliente o firma de otros certificados. Cuando el sistema reciba un nuevo certificado, el certificado indicará quién lo firmó. Si el firmante realmente puede firmar otros certificados y la firma del certificado recibido coincide con la clave pública del firmante, el sistema confiará automáticamente en el nuevo certificado.

Paso 5: Instale la clave privada y el certificado

Copie los archivos de clave privada y certificado al directorio de configuración de Apache. En el sistema Mac 10.10, cópielos a /etc/. Simplemente vaya. al directorio apache2/.

Cabe señalar que cuando se utiliza un certificado autofirmado, el navegador le indicará que el certificado no es confiable. Si lo está utilizando en un sitio web externo, se recomienda solicitar un SSL confiable. certificado de la agencia CA.