什么是HTTPS自签证书？

HTTPS自签证书（Self-Signed Certificate）是由网站管理员自己创建和签名的数字证书，而不是由受信任的第三方证书颁发机构（CA）签发。简单来说，就像你自己写了一张"我是好人"的证明并签名，而不是去公安局开无犯罪记录证明。

常见应用场景：

1. 内部测试环境：比如开发团队在搭建测试网站时

2. 内网系统：公司内部使用的OA、ERP等系统

3. 物联网设备：智能家居设备的本地管理界面

4. 开发学习：程序员学习HTTPS原理时的实践

为什么需要自签证书？

*价格因素*：正规CA颁发的证书通常需要付费，而自签证书完全免费。比如Let's Encrypt虽然提供免费证书，但在某些内网环境下无法使用。

*灵活性*：你可以为任意域名甚至IP地址创建证书。比如为"192.168.1.100"这个内网IP创建证书，这在商业CA那里是不可能实现的。

*即时性*：无需等待CA审核，即刻生成即刻使用。想象凌晨三点你急需测试一个HTTPS功能，自签证书就是你的救星。

如何生成自签证书？（OpenSSL示例）

让我们用最常见的OpenSSL工具来实际操作：

基础版 - 快速生成

```bash

生成私钥和证书（有效期365天）

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

```

执行后会要求输入一些信息：

- Country Name (2 letter code)：国家代码（如CN）

- State or Province Name：省份

- Locality Name：城市

- Organization Name：组织名称

- Organizational Unit Name：部门名称

- Common Name (e.g. server FQDN)：最重要的！填写你的域名或IP

- Email Address：邮箱地址

进阶版 - 更专业的生成方式

1. 先生成私钥

openssl genrsa -out example.com.key 2048

2. 创建配置文件san.cnf（解决现代浏览器对SAN的要求）

[req]

default_bits = 2048

prompt = no

default_md = sha256

distinguished_name = dn

[dn]

C = CN

ST = Beijing

L = Beijing

O = MyCompany

OU = IT Dept

CN = example.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = example.com

DNS.2 = www.example.com

IP.1 = 192.168.1.100

3. 使用配置文件生成CSR和证书

openssl req -new -key example.com.key -out example.com.csr -config san.cnf

openssl x509 -req -days 3650 -in example.com.csr -signkey example.com.key \

-out example.com.crt -extensions v3_req -extfile san.cnf

这个版本解决了两个关键问题：

1) 密钥分离：私钥和证书分开管理更安全

2) SAN扩展：现代浏览器(如Chrome)要求证书包含Subject Alternative Name

Nginx配置示例

获得cert.pem和key.pem后，Nginx配置如下：

```nginx

server {

listen 443 ssl;

server_name example.com;

ssl_certificate /path/to/cert.pem;

ssl_certificate_key /path/to/key.pem;

TLS协议配置（安全加固）

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...';

ssl_prefer_server_ciphers on;

HSTS头（可选）

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";

location / {

root /var/www/html;

index index.html;

}

}

Apache配置示例

对于Apache用户：

```apacheconf

ServerName example.com

SSLEngine on

SSLCertificateFile "/path/to/cert.pem"

SSLCertificateKeyFile "/path/to/key.pem"

TLS强化配置

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

AllowOverride All

Require all granted

Windows IIS导入步骤

在Windows服务器上使用IIS时：

1) 合并文件：将私钥(.key)和证书(.crt)合并为.pfx格式：

```powershell

openssl pkcs12 -export -out cert.pfx \

--inkey key.pem --in cert.pem \

--passout pass:yourpassword

```

2) IIS管理器 → "服务器凭证" → "导入"选择pfx文件

Chrome/Firefox信任自签证书指南

由于浏览器不信任自签证书，你会看到这样的警告：


Windows系统级信任

双击.crt文件 → "安装凭证" → "本地计算机" → "将所有凭证放入下列存储" → "受信任的根凭证颁发机构"

MacOS信任方法

```bash

Terminal执行：

sudo security add-trusted-cert \

-d —k /Library/Keychains/System.keychain \

/path/to/cert.crt

Firefox特殊处理

Firefox使用自己的凭证存储：

选项 → Privacy & Security → View Certificates → Authorities → Import

PKI体系中的位置解析

在PKI(公钥基础设施)体系中：

根CA (如VeriSign)

└───中级CA (如VeriSign Class3)

└───你的网站(如example.com)

你的自签链：

自制根CA (仅你信任)

└───你的网站(如internal.example)

企业常用做法是建立私有CA，然后签发下级证书。这比直接使用自签更规范。

OpenSSL vs CFSSL工具对比

|特性 | OpenSSL | CFSSL |

||||

|易用性 | ?命令行复杂 | ?有Web界面 |

|功能 | ?全面 | ??基础功能 |

|SAN支持 | ??需手动配置 | ?原生支持 |

|集群管理 | ?无 | ?适合大规模 |

CFSSL示例快速生成命令：

echo '{"CN":"example","hosts":["example.com","127.0.0"],\

"key":{"algo":"rsa","size":2048}}' \ > csr.json && cfssl gencert \

-ca=ca.pem —ca-key=ca-key.pem csr.json \ cfssljson —bare server

Docker容器中的特殊处理

当服务运行在Docker中时：

```dockerfile

Dockerfile示例 —— Copy并设置权限

COPY certs/server.crt /etc/ssl/certs/

COPY certs/server.key /etc/ssl/private/

RUN chmod600 /etc/ssl/private/server.key

docker-compose.yml —— Volume映射方式

volumes:

— ./certs:/etc/nginx/certs:ro

注意权限问题！容器内用户可能无权访问私钥文件。

Kubernetes Ingress用法

对于Kubernetes集群：

```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata:

name:tls-ingress spec:

tls:

— hosts:

— example.com secretName:testsecret-tls rules:

— host:example.com http:

paths:

— path:/ pathType:Prefix backend:

service:

name:test port:

number:80 ```

然后创建对应的Secret:

```bash kubectl create secret tls testsecret-tls \

--cert=path/to/cert.file \

--key=path/to/key.file ```

Android/iOS移动端信任方案

Android：

将.crt文件放入设备存储 → Settings → Security → Install from storage

iOS更复杂些：

方法一）通过邮件发送给自己 → iOS自动识别安装

方法二）使用Apple Configurator工具批量部署

注意iOS13+需要额外设置Info.plist中的NSExceptionDomains

Charles/Fiddler抓包原理揭秘

这些抓包工具本质上也是中间人攻击(MITM)，它们的工作原理是：

客户端 ←→ [伪造]Charles的CA ←→ Charles ←→ [真实]服务器CA ←→服务器

所以需要在设备上安装Charles的根证才能解密HTTPS流量。这再次验证了PKI体系的核心——谁控制了根证谁就掌控了信任链！

Let's Encrypt对比决策树

是否需要公网访问？

├──是→能否用Let's Encrypt？│ ├──能→用ACME自动签发 │ └──不能→商业付费证 ├──否→是否需要多设备？│ ├──是→建立私有CA │ └──否→临时用自签即可

Let's Encrypt的限制包括：

-必须验证域名所有权（内网IP不行）

-每90天需续期

-不支持通配符的IP证

而私有CA适合以下场景：

?跨国企业内网

?工业控制系统(ICS)

?Kubernetes集群内部通信

mkcert神器推荐

对于开发者强烈推荐mkcert工具：

```bash brew install mkcert

MacOS mkcert-install #安装本地CARoot mkcert example.com "*.example.test" localhost127... ```

优势在于：

?自动处理SAN扩展问题 ?一键安装到系统信任库 ?支持任意数量的域名/IP组合

比手动OpenSSL方便太多！

通过以上内容可以看出，HTTPS自签书虽不能替代商业证照在生产环境使用但确是开发者必备技能之一掌握其原理与实现能助你更好理解PKI体系运作机制

TAG:https自签证书如何使用,app怎么自签证书,https 自签,curl 自签证书,浏览器自签证书