如果您想使用openssl生成自签名证书，这里有一个我们生成的脚本，可以按原样使用。

#!/bin/bash

subj='//SKIP=skip/C=IN/ST=Country/L=City/O=MyCompany/OU=Technology'
red='\033[31m'        # red
yellow='\033[33m'        # yellow
green='\033[32m'        # green
blue='\033[34m'        # Blue
purple='\033[35m'      # Purple
cyan='\033[36m'        # Cyan
white='\033[37m'       # White


gencerts(){
certname=$1
pkname=$2
alias=$3
$(openssl genrsa -out $pkname'pem.pem' 4096)
$(openssl req -new -sha256 -key $pkname'pem.pem' -out $certname'csr.csr' -subj $subj)
$(openssl x509 -req -sha256 -days 3650 -in $certname'csr.csr' -signkey $pkname'pem.pem' -out $certname'.crt')
$(openssl pkcs12 -export -out $pkname'.p12' -name $alias -inkey $pkname'pem.pem' -in $certname'.crt')
}

verify(){
pkname=$1
keytool -v -list -storetype pkcs12 -keystore $pkname'.p12'
}

echo -e "${purple}WELCOME TO KEY PAIR GENERATOR"
echo -e "${yellow} Please enter the name of the certificate required: "
read certname
echo -e "${green}Please enter the name of the Private Key p12 file required: "
read pkname
echo -e "${cyan}Please enter the ALIAS of the Private Key p12 file : "
read pkalias
echo -e "${white}Please wait while we generate your Key Pair"

gencerts $certname $pkname $pkalias
echo -e "${white}Now lets verify the private key :)"

tput bel     # Play a bell

verify $pkname

请告诉我是否可以对脚本进行任何改进。

在经历了大量的尝试和各种解决方案之后，我仍然面临这样一个问题：为localhost颁发自签名证书会给我带来错误

错误证书无效

在扩展细节时，chrome表示：

您现在无法访问localhost，因为网站已发送加密凭据。。。

唯一难看的方式是键入（直接在这个屏幕上，没有看到文本的任何光标）：

（在键盘上键入）这是安全的

这让我继续。

直到我找到extendedKeyUsage=serverAuth，clientAuth

TL；博士

openssl genrsa-out localhost.key 2048openssl req-key localhost.key-new-out localhost.csr（单击输入所有内容，然后用localhost或其他FQDN填写通用名称（CN）。将以下内容放入名为v3.ext的文件中（根据需要进行编辑）：

subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer:always
basicConstraints       = CA:TRUE
keyUsage               = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign
extendedKeyUsage       = serverAuth, clientAuth
subjectAltName         = DNS:localhost, DNS:localhost.localdomain
issuerAltName          = issuer:copy

openssl x509-req-in localhost.csr-signkey localhost.key-out localhost.pem-days 3650-sha256-extfile v3.ext

瞧！您可以访问网站，展开“高级”，然后单击“转到本地主机（不安全）”。

openssl允许通过单个命令（-newkey）生成自签名证书指示生成私钥，-x509指示发出自签名证书而不是签名请求）：：

openssl req -x509 -newkey rsa:4096 \
-keyout my.key -passout pass:123456 -out my.crt \
-days 365 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

您可以在单独的步骤中生成私钥和构造自签名证书：

openssl genrsa -out my.key -passout pass:123456 2048

openssl req -x509 \
-key my.key -passin pass:123456 -out my.csr \
-days 3650 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

查看生成的证书：

openssl x509 -text -noout -in my.crt

Java keytool创建PKCS#12存储：：

keytool -genkeypair -keystore my.p12 -alias master \
-storetype pkcs12 -keyalg RSA -keysize 2048 -validity 3650 \
-storepass 123456 \
-dname "CN=localhost,O=home,C=US" \
-ext 'san=dns:localhost,dns:web.internal,email:me@mail.internal'

要导出自签名证书，请执行以下操作：

keytool -exportcert -keystore my.p12 -file my.crt \
-alias master -rfc -storepass 123456

查看生成的证书：

keytool -printcert -file my.crt

GnuTLS的certtool不允许从CLI传递不同的属性。我不喜欢乱搞配置文件((

正如已经详细讨论过的，自签名证书不受Internet信任。您可以将自签名证书添加到许多浏览器，但不是所有浏览器。或者，您可以成为自己的证书颁发机构。

人们不想从证书颁发机构获得签名证书的主要原因是成本--赛门铁克每年收取995美元至1999美元的证书费用--仅针对用于内部网络的证书，赛门铁克每年收取399美元。如果您正在处理信用卡付款或为高利润公司的利润中心工作，那么该成本很容易被证明是合理的。对于一个在互联网上创建的个人项目，或者一个以最低预算运行的非营利组织，或者如果一个人在一个组织的成本中心工作，成本中心总是试图用更少的钱做更多的事情，这是很多人都无法承受的。

另一种方法是使用certbot（参见certbot）。Certbot是一个易于使用的自动客户端，可为web服务器获取和部署SSL/TLS证书。

如果您设置了certbot，则可以使其为您创建和维护Let's Encrypt证书颁发机构颁发的证书。

我在周末为我的组织做了这件事。我在服务器（Ubuntu 16.04）上安装了certbot所需的软件包，然后运行了设置和启用certbot所必需的命令。一个可能需要certbot的DNS插件-我们目前正在使用DigitalOcean，但可能很快会迁移到另一个服务。

请注意，有些指示不太正确，需要谷歌花点时间才能弄清楚。这第一次花了我相当多的时间，但现在我想我可以在几分钟内完成。

对于DigitalOcean，我遇到的一个问题是，系统提示我输入DigitalOcean凭据INI文件的路径。脚本所指的是应用程序和API页面以及该页面上的令牌/密钥选项卡。您需要为DigitalOcean的API创建或生成个人访问令牌（读写）——这是一个65个字符的十六进制字符串。然后需要将该字符串放入运行certbot的Web服务器上的文件中。该文件的第一行可以是注释（注释以#开头）。第二行是：

dns_digitalocean_token = 0000111122223333444455556666777788889999aaaabbbbccccddddeeeeffff

一旦我知道了如何为DigitalOcean的API设置读写令牌，就可以很容易地使用certbot来设置通配符证书。请注意，您不必设置通配符证书，而是可以指定要应用证书的每个域和子域。正是通配符证书需要包含来自DigitalOcean的个人访问令牌的凭据INI文件。

请注意，公钥证书（也称为身份证书或SSL证书）过期并需要续订。因此，您需要定期（重复）更新证书。certbot文档包括续订证书。

我的计划是编写一个脚本，使用openssl命令获取证书的到期日期，并在到期前30天或更短的时间内触发续订。然后我将把这个脚本添加到cron中，并每天运行一次。

以下是读取证书过期日期的命令：

root@prod-host:~# /usr/bin/openssl x509 -enddate -noout -in path-to-certificate-pem-file
notAfter=May 25 19:24:12 2019 GMT

您可以在一个命令中完成此操作：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365

如果您不想用密码保护您的私钥，也可以添加-node（“no DES”的缩写）。否则，它将提示您输入“至少4个字符”的密码。

天数参数（365）可以替换为任何数字以影响到期日期。然后它会提示您输入“国家名称”之类的信息，但您只需按Enter键并接受默认值即可。

添加-sbj'/CN=localhost'以抑制有关证书内容的问题（用所需域替换localhost）。

自签名证书不会通过任何第三方进行验证，除非您以前将其导入浏览器。如果需要更多的安全性，则应使用由证书颁发机构（CA）签名的证书。

以下是@diegows的答案中描述的选项，在文档中有更详细的描述：

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

请求PKCS#10证书请求和证书生成实用程序。-2009年5月此选项输出自签名证书，而不是证书请求。这通常用于生成测试证书或自签名根CA。-新密钥参数此选项创建新的证书请求和新的私钥。争论采取多种形式之一。rsa：nbits，其中nbits是位数，生成大小为n位的RSA密钥。-键入文件名这提供了用于写入新创建的私钥的文件名。-输出文件名默认情况下，指定要写入的输出文件名或标准输出。-第n天当使用-x509选项时，指定要验证的天数的证书。默认值为30天。-节点如果指定了此选项，则如果创建了私钥，则不会对其进行加密。

文件实际上比上述更详细；我只是在这里总结了一下。