一般程序正确。命令的语法如下。

openssl req -new -key {private key file} -out {output file}

但是，会显示警告，因为浏览器无法通过使用已知的证书颁发机构（CA）验证证书来验证标识。

由于这是一个自签名证书，因此没有CA，您可以安全地忽略警告并继续。如果你想获得一个真正的证书，在公共互联网上任何人都可以识别，那么程序如下。

生成私钥使用该私钥创建CSR文件向CA提交CSR（威瑞信或其他公司等）在web服务器上安装从CA接收的证书根据cert类型将其他证书添加到身份验证链

我在《安全连接：使用OpenSSL创建安全证书》的一篇文章中了解了更多关于这一点的详细信息

您可以在一个命令中完成此操作：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365

如果您不想用密码保护您的私钥，也可以添加-node（“no DES”的缩写）。否则，它将提示您输入“至少4个字符”的密码。

天数参数（365）可以替换为任何数字以影响到期日期。然后它会提示您输入“国家名称”之类的信息，但您只需按Enter键并接受默认值即可。

添加-sbj'/CN=localhost'以抑制有关证书内容的问题（用所需域替换localhost）。

自签名证书不会通过任何第三方进行验证，除非您以前将其导入浏览器。如果需要更多的安全性，则应使用由证书颁发机构（CA）签名的证书。

以下是@diegows的答案中描述的选项，在文档中有更详细的描述：

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

请求PKCS#10证书请求和证书生成实用程序。-2009年5月此选项输出自签名证书，而不是证书请求。这通常用于生成测试证书或自签名根CA。-新密钥参数此选项创建新的证书请求和新的私钥。争论采取多种形式之一。rsa：nbits，其中nbits是位数，生成大小为n位的RSA密钥。-键入文件名这提供了用于写入新创建的私钥的文件名。-输出文件名默认情况下，指定要写入的输出文件名或标准输出。-第n天当使用-x509选项时，指定要验证的天数的证书。默认值为30天。-节点如果指定了此选项，则如果创建了私钥，则不会对其进行加密。

文件实际上比上述更详细；我只是在这里总结了一下。

快速命令行：最低版本

“我想要一个pfx格式的自签名证书，用于www.example.com，且不会引起太大的麻烦”：

openssl req -x509 -sha256 -days 365 -nodes -out cert.crt -keyout cert.key -subj "/CN=www.example.com"
openssl pkcs12 -export -out cert.pfx -inkey cert.key -in cert.crt

一个内衬FTW。我喜欢保持简单。为什么不使用一个包含所有所需参数的命令？这就是我喜欢的方式-这将创建一个x509证书及其PEM密钥：

openssl req -x509 \
 -nodes -days 365 -newkey rsa:4096 \
 -keyout self.key.pem \
 -out self-x509.crt \
 -subj "/C=US/ST=WA/L=Seattle/CN=example.com/emailAddress=someEmail@gmail.com"

该命令包含通常为证书详细信息提供的所有答案。通过这种方式，您可以设置参数并运行命令，获取输出，然后喝咖啡。

>>更多信息请点击此处<<

openssl允许通过单个命令（-newkey）生成自签名证书指示生成私钥，-x509指示发出自签名证书而不是签名请求）：：

openssl req -x509 -newkey rsa:4096 \
-keyout my.key -passout pass:123456 -out my.crt \
-days 365 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

您可以在单独的步骤中生成私钥和构造自签名证书：

openssl genrsa -out my.key -passout pass:123456 2048

openssl req -x509 \
-key my.key -passin pass:123456 -out my.csr \
-days 3650 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

查看生成的证书：

openssl x509 -text -noout -in my.crt

Java keytool创建PKCS#12存储：：

keytool -genkeypair -keystore my.p12 -alias master \
-storetype pkcs12 -keyalg RSA -keysize 2048 -validity 3650 \
-storepass 123456 \
-dname "CN=localhost,O=home,C=US" \
-ext 'san=dns:localhost,dns:web.internal,email:me@mail.internal'

要导出自签名证书，请执行以下操作：

keytool -exportcert -keystore my.p12 -file my.crt \
-alias master -rfc -storepass 123456

查看生成的证书：

keytool -printcert -file my.crt

GnuTLS的certtool不允许从CLI传递不同的属性。我不喜欢乱搞配置文件((