什么是自签名证书?以及如何创建它LenixBlog

自签名SSL证书是一种数字证书，未经公开信任的证书颁发机构(CA)签名。自签名证书被认为不同于传统的CA签名证书，因为它们是由负责与证书关联的网站或软件的公司或开发人员创建、颁发和签名的，而不是CA。

在高层次上，这些自签名证书基于与X.509证书中使用的相同的加密私钥和公钥对体系结构。但是，这些数字证书没有受信任的第三方CA的验证，例如WoTrus(wosign.com)。发行过程中缺乏独立验证会产生额外的风险，这就是自签名证书的问题。对于面向公众的网站和应用程序，它们被认为是不安全的。

此外，组织受益于知道自签名SSL证书使用与其他付费SSL/TLS证书相同的方法加密适用的传入和传出数据。

此外，自签名证书无法撤销证书，如果证书被遗忘或保留在对恶意行为者开放的系统上，这会将用于外部威胁的密码暴露出来。不幸的是，即使如此，一些IT部门仍认为证书颁发机构颁发证书的成本超过了额外验证和支持所降低的风险。

这些警告会给网站访问者带来恐惧和不安。他们给人的印象是该网站可能会受到威胁，并且该网站可能无法正确保护他们的数据。访问者会受到诱惑而避开这些网站并访问在访问时不提示安全警告的竞争对手。

可以理解的是，访问者不太可能在他们信任的网络浏览器告诉他们可能缺乏适当的安全措施的网站上共享任何个人或机密信息。这种谨慎是有充分理由的，因为自签名证书可能会被利用。一种流行的方法是中间人攻击，它允许看到通过TLS/SSL协议共享的数据，从而使访问者面临身份盗用和系统入侵。

通过选择这种类型的SSL证书，您实际上是在靠自己。这意味着您没有受信任的证书颁发机构的支持，也没有应用最新的加密方法来确保对数据、设备和应用程序进行正确的身份验证和加密。

如前所述，使用自签名证书会带来很多风险，尤其是在面向公众的情况下。对于任何处理任何私人信息（包括健康、税务或财务记录）的网站来说，它们都具有难以置信的风险。暴露此信息不仅会损害品牌信任，而且会因适用隐私法规的罚款和处罚而对组织造成经济损失。

许多人认为在员工门户或通信站点等区域部署时，在内部使用自签名证书不会带来风险，但事实并非如此。它们仍然会导致浏览器和安全警告。由于可以忽略这些警告，组织通常会指示其员工这样做。内部站点的安全是有保证的，所以这直接带来的危害不大。但是，这可能会无意中导致员工习惯于忽略这些类型的警告。这种类型的行为可能会使组织面临更大的风险和漏洞机会。

要创建SSL证书，需要私钥文件和证书签名请求(CSR)。该过程从向您的CA请求私钥开始。私钥是使用RSA和ECC等算法生成的加密密钥。RSA密钥是用于此过程的最古老的加密系统之一，并受到许多计划的支持。

虽然不推荐使用自签名证书，但这里有一个使用以下命令生成密钥的代码示例：

opensslgenrsa-aes256-outservername.pass.key4096

该命令将提示您输入密码。如果出于任何原因需要吊销证书，CA可以使用密码来验证证书所有者。

生成后，您的私钥文件现在将作为servername.key位于您当前的目录中，并将用于生成您的CSR。以下是自签名证书的证书签名请求的代码示例：

opensslreq-nodes-new-keyservername.key-outservername.csr

然后，您需要输入几条信息，包括组织、组织单位、国家/地区名称、州、地区和通用名称。通用名称通常是该位置的域名(dns)或IP地址。

输入此信息后，servername.csr文件将与servername.key私钥文件一起位于当前目录中。

最后，从server.key（私钥文件）和server.csr文件生成一个新证书(.crt)。生成的证书可以是根证书或中间证书，具体取决于您对信任链的应用。以下是生成新证书的命令示例：

opensslx509-req-sha256-days365-inservername.csr-signkeyservername.key-outservername.crt

与上一步类似，它的servername.crt文件将在当前目录中找到。

同样，自签名证书在任何环境中部署时都会产生重大风险，因此不建议使用此方法。访问WoTrus以了解有关受信任的SSL/TLS证书和其他类型的数字证书的更多信息。