揭开HTTPS自签名证书的神秘面纱（jiē kāi）

随着互联网技术的快速发展，网络安全问题愈发受到人们的关注。
其中，HTTPS作为一种安全通信协议，在保障数据传输安全方面发挥着重要作用。
而自签名证书，作为HTTPS中一种特殊的证书类型，常常因其神秘性引起人们的兴趣。
本文将详细解析自签名证书的原理、作用及其在实际应用中的优缺点，揭开其神秘面纱。

一、HTTPS与自签名证书概述

HTTPS是一种通过SSL/TLS协议实现的安全通信方式，它在HTTP协议的基础上提供了数据加密、完整性保护和身份认证等功能。
自签名证书是SSL/TLS协议中的一种特殊类型的证书，由个人或组织自行生成并签署，无需经过第三方权威机构认证。
由于其生成过程相对简单，自签名证书在开发、测试环境中应用较为广泛。

二、自签名证书的原理

自签名证书的原理主要涉及公钥基础设施（PKI）和加密技术。
证书中包含了一个公钥、一个或多个与公钥相关的身份信息以及一个数字签名。
自签名证书中的数字签名由证书的拥有者使用自己的私钥生成，用于验证证书内容的完整性和真实性。
由于自签名证书的签发过程没有经过第三方权威机构的审核，因此存在一定的安全风险。

三、自签名证书的作用

自签名证书在开发、测试环境中发挥着重要作用。
由于自签名证书的生成过程相对简单，开发者可以方便地创建自己的证书，用于本地开发环境的调试和测试。
自签名证书可以用于搭建内部网络的安全通信，保护敏感数据的传输安全。
在一些特定的应用场景中，如内部服务器的部署、小型网络的组建等，自签名证书也可以发挥一定的作用。

四、自签名证书在实际应用中的优缺点

（一）优点：

1.生成简单：自签名证书的生成过程相对简单，无需向第三方权威机构申请，降低了成本和时间。
2. 灵活性高：自签名证书可以根据需要自由定制，方便开发者在开发、测试环境中使用。
3. 适用于特定场景：在一些特定的应用场景中，如内部网络的部署、小型网络的组建等，自签名证书可以发挥一定的作用。

（二）缺点：

1. 安全风险较高：由于自签名证书的签发过程没有经过第三方权威机构的审核，其真实性和可信度无法得到保证，存在一定的安全风险。
2. 兼容性较差：部分设备和浏览器可能不支持自签名证书，导致在实际应用中存在一定的局限性。
3. 不适用于生产环境：由于安全性问题，自签名证书不适用于大规模生产环境的安全通信需求。

五、如何正确使用自签名证书

为了降低安全风险，正确使用自签名证书至关重要。以下是一些建议：

1. 仅在开发、测试环境中使用自签名证书，避免在生产环境中使用。
2. 在使用自签名证书时，确保设备和浏览器支持该证书类型。
3. 定期检查自签名证书的有效期，及时更新证书。
4. 尽量避免将敏感信息存储在自签名证书中，以降低泄露风险。
5. 在使用自签名证书时，了解其安全风险并采取相应的安全措施。

六、总结

自签名证书作为HTTPS中的一种特殊证书类型，在开发、测试环境中具有广泛的应用。
本文详细解析了自签名证书的原理、作用及其在实际应用中的优缺点，并提供了正确使用自签名证书的建议。
希望通过本文的阐述，读者能够更好地了解自签名证书的神秘面纱，提高网络安全意识。

如何创建一个自签名的SSL证书

创建自签名证书的步骤注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。 第1步：生成私钥使用openssl工具生成一个RSA私钥$ openssl genrsa -des3 -out 2048说明：生成rsa私钥，des3算法，2048位强度，是秘钥文件名。 注意：生成私钥，需要提供一个至少4位的密码。 第2步：生成CSR（证书签名请求）生成私钥之后，便可以创建csr文件了。 此时可以有两种选择。 理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。 另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体操作如下：$ openssl req -new -key -out 说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。 其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。 Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:BeijingOrganization Name (eg, company) [Internet Widgits Pty Ltd]:joyiosOrganizational Unit Name (eg, section) []:info technologyCommon Name (e.g. server FQDN or YOUR name) [] Address []第3步：删除私钥中的密码在第1步创建私钥的过程中，由于必须要指定一个密码。 而这个密码会带来一个副作用，那就是在每次Apache启动Web服务器时，都会要求输入密码，这显然非常不方便。 要删除私钥中的密码，操作如下：cp rsa -in -out 第4步：生成自签名证书如果你不想花钱让CA签名，或者只是测试SSL的具体实现。 那么，现在便可以着手生成一个自签名的证书了。 $ openssl x509 -req -days 365 -in -signkey -out 说明：crt上有证书持有人的信息，持有人的公钥，以及签署者的签名等信息。 当用户安装了证书之后，便意味着信任了这份证书，同时拥有了其中的公钥。 证书上会说明用途，例如服务器认证，客户端认证，或者签署其他证书。 当系统收到一份新的证书的时候，证书会说明，是由谁签署的。 如果这个签署者确实可以签署其他证书，并且收到证书上的签名和签署者的公钥可以对上的时候，系统就自动信任新的证书。 第5步：安装私钥和证书将私钥和证书文件复制到Apache的配置目录下即可，在Mac 10.10系统中，复制到/etc/apache2/目录中即可。 需要注意的是，在使用自签名证书时，浏览器会提示证书不受信任，如果你是对外网站使用，建议还是去CA机构申请可信的SSL证书，现在证书也很便宜，沃通CA超快SSL Pre才488元/年。

https请求使用自签证书上架会有问题吗

肯定有问题啦，自签名SSL证书不受浏览器信任的，并且有较大的安全风险，所以一般是被浏览器阻止访问的。 最好去申请一张浏览器信任的SSL证书来使用。 参考/

如何在CentOS 7上为Nginx创建自签名的SSL证书

1. 生成自签名的证书通常要配置 https 的服务器，都需要一个由正式的 CA 机构认证的 X509 证书。 当客户端连接 https 服务器时，会通过 CA 的共钥来检查这个证书的正确性。 但要获得 CA 的证书是一件很麻烦的事情，而且还要花费一定的费用。 因此通常一些小的机构会是使用自签名的证书。 也就是自己做 CA，给自己的服务器证书签名。 这个过程有两个主要的步骤，首先是生成自己的 CA 证书，然后再生成各个服务器的证书并为它们签名。 我是用 OpenSSL 来生成自签名证书的。 第一步是制作 CA 的证书：openssl genrsa -des3 -out 2048openssl req -new -x509 -days 3650 -key -out 这会生成 和 文件，前者存放着使用 制作签名时必须的密钥，应当妥善保管。 而后者是可以公开的。 上面的命令为 设定的有效期为 10 年。 用命令openssl x509 -in -text -noout可以查看 文件的内容。 有了 CA 证书之后，就可以为自己的服务器生成证书了：openssl genrsa -des3 -out 1024openssl req -new -key -out x509 -req -in -out -sha1 -CA -CAkey -CAcreateserial -days 3650前两个命令会生成 key、csr 文件，最后一个命令则通过 为 制作了 x509 的签名证书。 需要注意的是，在执行上述第二个命令时，Common Name 选项应当输入的是服务器的域名，否则在用户通过 https 协议访问时每次都会有额外的提示信息。 用命令openssl x509 -in -text -noout可以查看 文件的内容。 2. 配置 Apache 服务器首先，创建 /etc/apache2/ssl 目录，将刚刚制作的 、 和 文件拷贝到这个目录中。 接着执行命令a2emod ssl激活 Apache 的 SSL 模块，然后在 /etc/apache2/sites-enable/ 中添加虚拟主机，这个过程与添加普通的虚拟主机类似，不同点在于该主机的端口应为 443。 配置如下：NameVirtualHost *:443ServerName localhost DocumentRoot /var/www SSLEngine On SSLCipherSuite HIGH:MEDIUM SSLProtocol all -SSLv2 SSLCertificateFile /etc/apache2/ssl/ SSLCertificateKeyFile /etc/apache2/ssl/ SSLCACertificateFile /etc/apache2/ssl/ Order deny,allow Allow from localhostServerName localhost DocumentRoot /var/www Order deny,allow Allow from localhost以上配置保证了用户在访问 443 和 80 端口时可以看到相同的内容，而仅仅是使用的协议不同。 修改好配置后，便可以重启 Apache 服务器，这时需要输入 的密码。 用浏览器访问这时应当看到一个弹出对话框，让你确认是否信任该站点的证书，选择信任后，便可以查看该站点的内容了。 由于大多数 Apache 服务器都是在服务器启动时自动启动，为了避免在启动 Apache 时输入密码，可以用以下命令生成不加密的 文件：openssl rsa -in -out 用新生成的 代替原有的 key 文件即可。