生成10年无密码和证书的密钥，短方法：

openssl req  -x509 -nodes -new  -keyout server.key -out server.crt -days 3650 -subj "/C=/ST=/L=/O=/OU=web/CN=www.server.com"

对于标志-subj |，允许使用subject空值-subj“/C=/ST=/L=/O=/OU=web/CN=www.server.com”，但可以根据需要设置更多详细信息：

C-国家名称（2字母代码）ST-状态L-地点名称（如城市）O-组织名称OU-组织单位名称CN-通用名称-必填！

我不能评论，所以我将把这作为一个单独的答案。我发现了一些公认的单线回答的问题：

一行代码在密钥中包含一个口令。一行程序使用SHA-1，在许多浏览器中，SHA-1会在控制台中抛出警告。

下面是一个简化版本，它删除了密码短语，提高了安全性以抑制警告，并在注释中包含了一个建议，即传递-subj以删除完整的问题列表：

openssl genrsa -out server.key 2048
openssl rsa -in server.key -out server.key
openssl req -sha256 -new -key server.key -out server.csr -subj '/CN=localhost'
openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt

将“localhost”替换为所需的任何域。您需要逐个运行前两个命令，因为OpenSSL将提示输入密码短语。

要将两者合并为.pem文件，请执行以下操作：

cat server.crt server.key > cert.pem

openssl允许通过单个命令（-newkey）生成自签名证书指示生成私钥，-x509指示发出自签名证书而不是签名请求）：：

openssl req -x509 -newkey rsa:4096 \
-keyout my.key -passout pass:123456 -out my.crt \
-days 365 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

您可以在单独的步骤中生成私钥和构造自签名证书：

openssl genrsa -out my.key -passout pass:123456 2048

openssl req -x509 \
-key my.key -passin pass:123456 -out my.csr \
-days 3650 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digitalSignature -addext extendedKeyUsage=serverAuth

查看生成的证书：

openssl x509 -text -noout -in my.crt

Java keytool创建PKCS#12存储：：

keytool -genkeypair -keystore my.p12 -alias master \
-storetype pkcs12 -keyalg RSA -keysize 2048 -validity 3650 \
-storepass 123456 \
-dname "CN=localhost,O=home,C=US" \
-ext 'san=dns:localhost,dns:web.internal,email:me@mail.internal'

要导出自签名证书，请执行以下操作：

keytool -exportcert -keystore my.p12 -file my.crt \
-alias master -rfc -storepass 123456

查看生成的证书：

keytool -printcert -file my.crt

GnuTLS的certtool不允许从CLI传递不同的属性。我不喜欢乱搞配置文件((

一个内衬FTW。我喜欢保持简单。为什么不使用一个包含所有所需参数的命令？这就是我喜欢的方式-这将创建一个x509证书及其PEM密钥：

openssl req -x509 \
 -nodes -days 365 -newkey rsa:4096 \
 -keyout self.key.pem \
 -out self-x509.crt \
 -subj "/C=US/ST=WA/L=Seattle/CN=example.com/emailAddress=someEmail@gmail.com"

该命令包含通常为证书详细信息提供的所有答案。通过这种方式，您可以设置参数并运行命令，获取输出，然后喝咖啡。

>>更多信息请点击此处<<

一般程序正确。命令的语法如下。

openssl req -new -key {private key file} -out {output file}

但是，会显示警告，因为浏览器无法通过使用已知的证书颁发机构（CA）验证证书来验证标识。

由于这是一个自签名证书，因此没有CA，您可以安全地忽略警告并继续。如果你想获得一个真正的证书，在公共互联网上任何人都可以识别，那么程序如下。

生成私钥使用该私钥创建CSR文件向CA提交CSR（威瑞信或其他公司等）在web服务器上安装从CA接收的证书根据cert类型将其他证书添加到身份验证链

我在《安全连接：使用OpenSSL创建安全证书》的一篇文章中了解了更多关于这一点的详细信息

正如已经详细讨论过的，自签名证书不受Internet信任。您可以将自签名证书添加到许多浏览器，但不是所有浏览器。或者，您可以成为自己的证书颁发机构。

人们不想从证书颁发机构获得签名证书的主要原因是成本--赛门铁克每年收取995美元至1999美元的证书费用--仅针对用于内部网络的证书，赛门铁克每年收取399美元。如果您正在处理信用卡付款或为高利润公司的利润中心工作，那么该成本很容易被证明是合理的。对于一个在互联网上创建的个人项目，或者一个以最低预算运行的非营利组织，或者如果一个人在一个组织的成本中心工作，成本中心总是试图用更少的钱做更多的事情，这是很多人都无法承受的。

另一种方法是使用certbot（参见certbot）。Certbot是一个易于使用的自动客户端，可为web服务器获取和部署SSL/TLS证书。

如果您设置了certbot，则可以使其为您创建和维护Let's Encrypt证书颁发机构颁发的证书。

我在周末为我的组织做了这件事。我在服务器（Ubuntu 16.04）上安装了certbot所需的软件包，然后运行了设置和启用certbot所必需的命令。一个可能需要certbot的DNS插件-我们目前正在使用DigitalOcean，但可能很快会迁移到另一个服务。

请注意，有些指示不太正确，需要谷歌花点时间才能弄清楚。这第一次花了我相当多的时间，但现在我想我可以在几分钟内完成。

对于DigitalOcean，我遇到的一个问题是，系统提示我输入DigitalOcean凭据INI文件的路径。脚本所指的是应用程序和API页面以及该页面上的令牌/密钥选项卡。您需要为DigitalOcean的API创建或生成个人访问令牌（读写）——这是一个65个字符的十六进制字符串。然后需要将该字符串放入运行certbot的Web服务器上的文件中。该文件的第一行可以是注释（注释以#开头）。第二行是：

dns_digitalocean_token = 0000111122223333444455556666777788889999aaaabbbbccccddddeeeeffff

一旦我知道了如何为DigitalOcean的API设置读写令牌，就可以很容易地使用certbot来设置通配符证书。请注意，您不必设置通配符证书，而是可以指定要应用证书的每个域和子域。正是通配符证书需要包含来自DigitalOcean的个人访问令牌的凭据INI文件。

请注意，公钥证书（也称为身份证书或SSL证书）过期并需要续订。因此，您需要定期（重复）更新证书。certbot文档包括续订证书。

我的计划是编写一个脚本，使用openssl命令获取证书的到期日期，并在到期前30天或更短的时间内触发续订。然后我将把这个脚本添加到cron中，并每天运行一次。

以下是读取证书过期日期的命令：

root@prod-host:~# /usr/bin/openssl x509 -enddate -noout -in path-to-certificate-pem-file
notAfter=May 25 19:24:12 2019 GMT