一般程序正确。命令的语法如下。

openssl req -new -key {private key file} -out {output file}

但是，会显示警告，因为浏览器无法通过使用已知的证书颁发机构（CA）验证证书来验证标识。

由于这是一个自签名证书，因此没有CA，您可以安全地忽略警告并继续。如果你想获得一个真正的证书，在公共互联网上任何人都可以识别，那么程序如下。

生成私钥使用该私钥创建CSR文件向CA提交CSR（威瑞信或其他公司等）在web服务器上安装从CA接收的证书根据cert类型将其他证书添加到身份验证链

我在《安全连接：使用OpenSSL创建安全证书》的一篇文章中了解了更多关于这一点的详细信息

生成密钥我将/etc/mysql用于证书存储，因为/etc/appamor.d/usr.sbin.mysqld包含/etc/mysql/*.pem r。苏多苏-cd/etc/mysqlopenssl genrsa-out ca-key.pem 2048；openssl req-new-x509-nodes-days 1000-key ca-key.pem-out ca-cert.pem；openssl req-newkey rsa：2048-天1000-节点-keyout server-key.pem-out server-req.pem；openssl x509-req-in server-req.pem-天1000-CA CA-cert.pem-CA密钥CA-key.pem-set_serial 01-out server-cert.pum；openssl req-newkey rsa：2048-天1000-nodes-keyout client-key.pem-out client-req.pem；openssl x509-req-in client-req.pem-days 1000-CA CA-cert.pem-CA密钥CA-key.pem-set_serial 01-out client-cert.pum；添加配置/etc/mysql/my.cnf[客户]ssl-ca=/etc/mysql/ca-cert.pemssl证书=/etc/mysql/client-cert.pemssl密钥=/etc/mysql/client-key.pem[mysqld]ssl-ca=/etc/mysql/ca-cert.pemssl证书=/etc/mysql/server-cert.pemssl密钥=/etc/mysql/server-key.pem

在我的设置中，Ubuntu服务器登录到：/var/log/mysql/error.log

后续注意事项：

SSL错误：无法从“…”获取证书如果MySQL不在appmors配置中，则可能会拒绝对证书文件的读取访问。如前面步骤^中所述，将所有证书保存为/etc/mysql/目录中的.pem文件，appamor默认批准该目录（或修改appamor/SELinux以允许访问存储它们的任何位置）SSL错误：无法获取私钥您的MySQL服务器版本可能不支持默认的rsa：2048格式将生成的rsa：2048转换为纯rsa：openssl rsa-in server-key.pem-out server-key.phpopenssl rsa-in client-key.pem-out client-key.php检查本地服务器是否支持SSL：mysql-u根-pmysql>显示变量，如“%ssl%”；+---------------+----------------------------+|变量名称|值|+---------------+----------------------------+|have_openssl|是||have_ssl|是||ssl-ca|/etc/mysql/ca-cert.pem||ssl_容量|||ssl_cert |/etc/mysql/server-cert.pem||ssl_密码|||ssl-key |/etc/mysql/server-key.pem|+---------------+----------------------------+验证与数据库的连接是否经过SSL加密：正在验证连接登录到MySQL实例时，可以发出查询：显示状态，如“Ssl_cypher”；如果您的连接未加密，结果将为空：mysql>显示状态，如“Ssl_cypher”；+---------------+-------+|变量名称|值|+---------------+-------+|Ssl_密码||+---------------+-------+一组1行（0.00秒）否则，它将显示正在使用的密码的非零长度字符串：mysql>显示状态，如“Ssl_cypher”；+---------------+--------------------+|变量名称|值|+---------------+--------------------+|Ssl_密码|DHE-RSA-AES256-SHA|+---------------+--------------------+一组1行（0.00秒）特定用户的连接需要ssl（“需要ssl”）：安全套接字层告诉服务器只允许帐户使用SSL加密连接。授予测试的所有特权。*至“root”@“本地主机”需要SSL；要进行连接，客户端必须指定--ssl ca选项来验证服务器证书，还可以指定--ssl密钥和--ssl证书选项。如果未指定--ssl ca选项或--ssl capath选项，则客户端不会对服务器证书进行身份验证。

备用链接：《用SSL保护PHP与MySQL的连接》中的冗长教程。

2017年一艘班轮：

openssl req \
-newkey rsa:2048 \
-x509 \
-nodes \
-keyout server.pem \
-new \
-out server.pem \
-subj /CN=localhost \
-reqexts SAN \
-extensions SAN \
-config <(cat /System/Library/OpenSSL/openssl.cnf \
    <(printf '[SAN]\nsubjectAltName=DNS:localhost')) \
-sha256 \
-days 3650

这也适用于Chrome 57，因为它提供了SAN，而无需另一个配置文件。它取自这里的一个答案。

这将创建一个包含私钥和证书的.pem文件。如果需要，可以将它们移动到单独的.pem。

正如已经详细讨论过的，自签名证书不受Internet信任。您可以将自签名证书添加到许多浏览器，但不是所有浏览器。或者，您可以成为自己的证书颁发机构。

人们不想从证书颁发机构获得签名证书的主要原因是成本--赛门铁克每年收取995美元至1999美元的证书费用--仅针对用于内部网络的证书，赛门铁克每年收取399美元。如果您正在处理信用卡付款或为高利润公司的利润中心工作，那么该成本很容易被证明是合理的。对于一个在互联网上创建的个人项目，或者一个以最低预算运行的非营利组织，或者如果一个人在一个组织的成本中心工作，成本中心总是试图用更少的钱做更多的事情，这是很多人都无法承受的。

另一种方法是使用certbot（参见certbot）。Certbot是一个易于使用的自动客户端，可为web服务器获取和部署SSL/TLS证书。

如果您设置了certbot，则可以使其为您创建和维护Let's Encrypt证书颁发机构颁发的证书。

我在周末为我的组织做了这件事。我在服务器（Ubuntu 16.04）上安装了certbot所需的软件包，然后运行了设置和启用certbot所必需的命令。一个可能需要certbot的DNS插件-我们目前正在使用DigitalOcean，但可能很快会迁移到另一个服务。

请注意，有些指示不太正确，需要谷歌花点时间才能弄清楚。这第一次花了我相当多的时间，但现在我想我可以在几分钟内完成。

对于DigitalOcean，我遇到的一个问题是，系统提示我输入DigitalOcean凭据INI文件的路径。脚本所指的是应用程序和API页面以及该页面上的令牌/密钥选项卡。您需要为DigitalOcean的API创建或生成个人访问令牌（读写）——这是一个65个字符的十六进制字符串。然后需要将该字符串放入运行certbot的Web服务器上的文件中。该文件的第一行可以是注释（注释以#开头）。第二行是：

dns_digitalocean_token = 0000111122223333444455556666777788889999aaaabbbbccccddddeeeeffff

一旦我知道了如何为DigitalOcean的API设置读写令牌，就可以很容易地使用certbot来设置通配符证书。请注意，您不必设置通配符证书，而是可以指定要应用证书的每个域和子域。正是通配符证书需要包含来自DigitalOcean的个人访问令牌的凭据INI文件。

请注意，公钥证书（也称为身份证书或SSL证书）过期并需要续订。因此，您需要定期（重复）更新证书。certbot文档包括续订证书。

我的计划是编写一个脚本，使用openssl命令获取证书的到期日期，并在到期前30天或更短的时间内触发续订。然后我将把这个脚本添加到cron中，并每天运行一次。

以下是读取证书过期日期的命令：

root@prod-host:~# /usr/bin/openssl x509 -enddate -noout -in path-to-certificate-pem-file
notAfter=May 25 19:24:12 2019 GMT

2017年单线版：

CentOS：

openssl req -x509 -nodes -sha256 -newkey rsa:2048 \
-keyout localhost.key -out localhost.crt \
-days 3650 \
-subj "CN=localhost" \
-reqexts SAN -extensions SAN \
-config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=IP:127.0.0.1,DNS:localhost"))

Ubuntu：

openssl req -x509 -nodes -sha256 -newkey rsa:2048 \
-keyout localhost.key -out localhost.crt \
-days 3650 \
-subj "/CN=localhost" \
-reqexts SAN -extensions SAN \
-config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=IP:127.0.0.1,DNS:localhost"))

编辑：为Ubuntu的“subj”选项添加了前缀Slash。

我建议添加-sha256参数，以使用SHA-2哈希算法，因为主要浏览器正在考虑将“SHA-1证书”显示为不安全。

来自已接受答案的同一命令行-@diegows，添加了-sha256

openssl req-x509-sha256-newkey rsa：2048-keyout key.pem-out cert.pem-天XXX

更多信息请访问谷歌安全博客。

2018年5月更新。正如许多人在评论中指出的那样，使用SHA-2不会为自签名证书添加任何安全性。但我仍然建议使用它作为一个好习惯，不要使用过时/不安全的加密哈希函数。在“为什么最终实体证书之上的证书可以基于SHA-1？”中提供了完整的解释？。