使用OpenSSL快速生成SSL证书：企业自建测试环境实操指南

【导读】本文详解OpenSSL命令行生成私钥、CSR及自签名证书三步法。适用于非生产场景下的本地调试与内网应用部署。
背景与现状
企业在搭建Web服务原型或开展安全渗透测试前，常需启用HTTPS协议验证功能完整性。但正式商用证书采购周期长、配置门槛高。
OpenSSL作为开源加密工具套件，在Linux/macOS默认预装率超68%（据2023年Stack Overflow Dev Survey）。它支持完整PKI流程模拟，是构建最小可行TLS链路的基础能力。
技术与关联
生成过程包含三个关键文件：
- 私钥（key）：用于解密客户端发送的会话密钥；
- CSR（Certificate Signing Request）：含公钥+域名标识，提交给CA机构审核依据；
- CRT（certificate）：最终被浏览器信任并加载的数字凭证。
其中自签名证书虽不被公共根证书库认可，但在可控网络环境中完全可用。
建议与方案
推荐按如下顺序执行命令（以example.com为例）：
生成RSA私钥：openssl genrsa -out example.key 2048；
创建CSR请求：openssl req -new -key example.key -out example.csr；
签署为CRT证书：openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt；
合并KEY+CRT供Nginx/Apache调用：cat example.key example.crt > fullchain.pem。
在此处添加配图
延伸说明
若需更高安全性，请升级至ECDSA算法：
替换第一步为：openssl ecparam -genkey -name prime256v1 -noout -out example.ec.key；
ECC证书体积更小、握手更快，适合移动端接入密集型架构。