以下是Ubuntu系统配置OpenSSL的核心步骤：

1. 安装OpenSSL

   sudo apt update  
   sudo apt install openssl  
   

   验证安装：openssl version。

2. 配置环境变量（可选）

   • 编辑用户shell配置文件（如.bashrc）：

     echo 'export PATH=/usr/local/openssl/bin:$PATH' >> ~/.bashrc  
     echo 'export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH' >> ~/.bashrc  
     source ~/.bashrc  
     

   • 若需从源码安装，需手动指定路径并更新库缓存。

3. 修改配置文件（可选）

   • 配置文件路径：/etc/ssl/openssl.cnf
   • 备份后编辑：

     sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.bak  
     sudo nano /etc/ssl/openssl.cnf  
     

     可修改加密算法、证书有效期等参数。

4. 生成证书与密钥（可选）

   • 自签名证书：

     sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/ssl/private/key.pem -out /etc/ssl/certs/cert.pem -days 365  
     

   • 服务器证书（需CA）：
     先生成私钥和CSR，再通过CA签名。

5. 配置Web服务器（以Nginx为例）

   • 编辑Nginx配置文件：

     sudo nano /etc/nginx/sites-available/default  
     

     添加SSL配置：

     server {  
         listen 443 ssl;  
         ssl_certificate /etc/ssl/certs/cert.pem;  
         ssl_certificate_key /etc/ssl/private/key.pem;  
         ssl_protocols TLSv1.2 TLSv1.3;  
     }  
     

   • 重启服务：sudo systemctl restart nginx。

安全注意事项：

• 确保私钥文件权限为600：sudo chmod 600 /etc/ssl/private/*.key。
• 生产环境建议使用受信任CA签发的证书，避免自签名证书的安全风险。

以上步骤参考自。