Время ожидания для проверки подлинности с помощью форм и время ожидания для сеанса
Следующая команда:
openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example.crt -subj "/CN=example.com" -days 3650
создает сертификат для домена example.com, который
- относительно силен (по состоянию на 2018 год) и
- , действительный для
3650дней (~ 10 лет).
Он создает следующие файлы:
- Закрытый ключ:
example.key - Сертификат:
example.crt
Поскольку вся информация предоставляется в командной строке, нет раздражающего интерактивного ввода. Кроме того, все эти шаги выполняются одним единственным вызовом OpenSSL: от создания секретного ключа до самозаверяющего сертификата.
Поскольку сертификат самоподписан и должен быть принят пользователями вручную,
В будущем вам может понадобиться больше, чем 4096 бит для ключа RSA и алгоритм хеширования, более сильный, чем sha256, но с 2018 года это нормальные значения.
Примечание: Теоретически вы можете оставить параметр -nodes (что означает «отсутствие шифрования DES»), в какой случай example.key будет зашифрован паролем. Тем не менее, это почти никогда не бывает полезно для установки сервера, потому что вам нужно будет либо хранить пароль на сервере, либо вам придется вводить его вручную при каждой перезагрузке.