Следующая команда:
openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example.crt -subj "/CN=example.com" -days 3650
создает сертификат для домена example.com
, который
3650
дней (~ 10 лет). Он создает следующие файлы:
example.key
example.crt
Поскольку вся информация предоставляется в командной строке, нет раздражающего интерактивного ввода. Кроме того, все эти шаги выполняются одним единственным вызовом OpenSSL: от создания секретного ключа до самозаверяющего сертификата.
Поскольку сертификат самоподписан и должен быть принят пользователями вручную,
В будущем вам может понадобиться больше, чем 4096
бит для ключа RSA и алгоритм хеширования, более сильный, чем sha256
, но с 2018 года это нормальные значения.
Примечание: Теоретически вы можете оставить параметр -nodes
(что означает «отсутствие шифрования DES»), в какой случай example.key
будет зашифрован паролем. Тем не менее, это почти никогда не бывает полезно для установки сервера, потому что вам нужно будет либо хранить пароль на сервере, либо вам придется вводить его вручную при каждой перезагрузке.