Возникла необходимость (для внутренних целей) сгенерировать самоподписанный сертификат. Для этого был использован OpenSSL (Linux).

Итак, создаём самоподписанный SSL сертификат с помощью OpenSSL. Для начала нам необходимо установить пакет OpenSSL. Устанавливаем его так:

# apt-get install openssl

После установки OpenSSL, создадим директории, в которых будут лежать сертификаты и ключи:

# mkdir /home/ssl/

Создаем самоподписанный SSL сертификат так:

# openssl req -x509 -newkey rsa:2048 -days 365 -keyout /home/ssl/my_key.key -out /home/ssl/my_cert.crt

Нас попросят ввести пароль к ключу. Вводим пароль, не менее 4 символов (и еще раз). Затем нас попросят ввести данные о сертификате. Если какие-то данные Вам не нужны можете просто пропустить и нажать Enter, будет использовано значение по-умолчанию (в квадратных скобках).

Давайте рассмотрим по порядку, что нам предлагают ввести:

В итоге мы получили два файла, ключ и сертификат. Ключ – это секретный ключ, публичный ключ находиться в теле самого сертификата.

Ключ без пароля

Если Вы, например, используете сертификат и ключ в веб-сервере, то пароль на ключе будет мешать нормальной работе. Поэтому лучше сгенерировать ключ без пароля. Добавляем параметр -nodes, в результате секретный ключ не будет зашифрован паролем.

# openssl req -x509 -nodes -newkey rsa:2048 -days 365 -keyout /home/ssl/my_key.key -out /home/ssl/my_cert.crt

Так же можно ещё добавить параметр -subj — этот тот кому принадлежит сертификат, то что мы вводили в интерактивном режиме (название организации, мыло и так далее). Можно эти параметры сразу указать в команде.

# openssl req -x509 -nodes -newkey rsa:2048 -days 365 -keyout /home/ssl/my_key.key -out /home/ssl/my_cert.crt -subj /C=/ST=/L=/O=/CN=unlix.ru

В примере выше пропускаем все поля, кроме CN (Common Name).

Чтобы просмотреть сертификат выполняем:

# openssl x509 -noout -text -in /home/ssl/my_cert.crt