在Ubuntu中配置OpenSSL步骤如下:
-
安装OpenSSL
sudo apt update sudo apt install openssl sudo openssl version # 验证安装 -
备份配置文件(可选)
sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.bak -
编辑配置文件
sudo nano /etc/ssl/openssl.cnf- 可修改加密算法(如
encrypt_key = aes256)、证书有效期等参数。
- 可修改加密算法(如
-
生成证书与密钥(可选)
- 自签名证书:
sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/ssl/private/rootCA.key -out /etc/ssl/certs/rootCA.pem -days 3650 - 服务器证书:
sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/ssl/private/server.key -out /etc/ssl/certs/server.csr sudo openssl x509 -req -in server.csr -CA /etc/ssl/certs/rootCA.pem -CAkey /etc/ssl/private/rootCA.key -out /etc/ssl/certs/server.crt -days 365
- 自签名证书:
-
配置Web服务器(可选)
- Nginx:编辑
/etc/nginx/sites-available/default,添加SSL配置:server { listen 443 ssl; ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/private/server.key; ssl_protocols TLSv1.2 TLSv1.3; } sudo systemctl restart nginx - Apache:编辑
/etc/apache2/sites-available/default-ssl.conf,启用SSL模块并配置证书路径,重启服务。
- Nginx:编辑
-
安全设置
- 限制私钥权限:
sudo chmod 600 /etc/ssl/private/*.key - 定期更新OpenSSL以修复漏洞。
- 限制私钥权限:
说明:默认配置通常满足多数场景,如需高级配置(如多版本共存、自定义加密套件),可参考官方文档或编译安装特定版本。