在今天的互联网世界中，SSL证书已经成为网站安全的标配。无论是个人博客还是企业官网，没有SSL证书的网站不仅会被浏览器标记为“不安全”，还可能面临数据泄露的风险。对于仍在使用CentOS6系统的用户来说，生成SSL证书可能显得有些复杂。本文将用通俗易懂的语言，结合实例，一步步教你如何在CentOS6上生成SSL证书。

一、为什么需要SSL证书？

想象一下，你正在网上购物，输入了信用卡信息。如果没有SSL证书，这些信息就像写在明信片上一样，任何人都可以中途截获。而有了SSL证书，数据会被加密传输，就像把明信片装进了保险箱。

例子：

当你在浏览器地址栏看到一个小锁图标和“https://”时，说明这个网站使用了SSL证书。比如访问支付宝（https://www.alipay.com），你会看到这些安全标志。

二、准备工作

在开始之前，你需要：

1. 一台运行CentOS6的服务器（可以是虚拟机或物理机）。

2. 以root用户或具有sudo权限的用户登录。

3. 确保系统已安装OpenSSL（CentOS6默认通常已安装）。

检查OpenSSL是否安装：

```bash

openssl version

```

如果显示类似“OpenSSL 1.0.1e-fips”的信息，说明已安装。

三、生成私钥和CSR文件

1. 生成私钥

私钥是加密的核心文件，必须妥善保管。以下命令生成一个2048位的RSA私钥：

openssl genrsa -out server.key 2048

- `server.key`是私钥文件名。

- `2048`表示密钥长度（位数越高越安全）。

注意：私钥文件必须严格保密！如果泄露，攻击者可以冒充你的网站。

2. 生成CSR（证书签名请求）

CSR是向证书颁发机构（CA）申请证书时需要的文件。运行以下命令：

openssl req -new -key server.key -out server.csr

系统会提示你输入一些信息：

- Country Name：国家代码（如CN表示中国）。

- State or Province Name：省份（如Beijing）。

- Locality Name：城市（如Beijing）。

- Organization Name：组织名称（如公司名）。

- Organizational Unit Name：部门名称（可选）。

- Common Name：网站的域名（如www.example.com）。这是最重要的字段！

- Email Address：管理员邮箱（可选）。

如果你为域名“blog.example.com”申请证书，“Common Name”必须填写“blog.example.com”。

四、自签名证书 vs CA签名证书

1. 自签名证书

如果你只是内部测试或开发环境使用，可以生成自签名证书：

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

- `server.crt`是生成的证书文件。

- `-days 365`表示有效期1年。

自签名证书的缺点是浏览器会提示“不安全”，因为它未被公共CA信任。

2. CA签名证书

如果是生产环境，建议从Let’s Encrypt等免费CA或商业CA购买证书。以Let’s Encrypt为例：

CentOS6需要先安装EPEL仓库和Certbot

wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm

rpm -Uvh epel-release-latest-6.noarch.rpm

yum install certbot python-certbot-apache

获取证书（假设使用Apache）

certbot --apache -d www.example.com

五、配置Web服务器使用SSL

以Apache为例：

1. 编辑配置文件

vi /etc/httpd/conf.d/ssl.conf

找到以下部分并修改路径：

```apacheconf

SSLCertificateFile /path/to/server.crt

SSLCertificateKeyFile /path/to/server.key

2.重启Apache服务：

service httpd restart

六、常见问题及解决

问题1:浏览器提示"不安全"

原因:可能是自签名证书记录未被信任,或域名不匹配。

解决:检查CommonName是否与访问域名一致,或改用CA签名的证书记录。

问题2:服务启动失败报错"SSLV3_ALERT_HANDSHAKE_FAILURE"

原因:CentOS6默认的OpenSSL版本较旧,可能不支持现代加密套件。

解决:升级OpenSSL或调整配置:

```apacheconf

SSLCipherSuite HIGH:!aNULL:!MD5

七、延伸知识:TLS握手过程(简化版)

当用户访问https站点时:

1.客户端说:"嗨,我要用TLS1.2通信"

2.服务器返回证书记录:"这是我的身份证(证书记录)"

3客户端验证证书记录有效后,用证书记录中的公钥加密一个随机数发给服务器4双方用这个随机数生成会话密钥,后续通信全部加密

这就像两个人见面交换暗号的过程,确保对话不会被窃听。

来说,在CentOS6上部署SSL需要:

1)用OpenSSL生成密钥对

2)创建CSR向CA申请证书记录(或自签名)

3)正确配置Web服务器

4)定期更新证书记录(通常1年有效期)

虽然CentOS6已经停止维护,但通过合理配置仍能满足基础安全需求。对于重要业务系统,建议尽快升级到支持新版本TLS的系统版本。

TAG:centos6 生成ssl证书,centos生成ssh密钥,centos6配置ssh,centos7 ssl