以下是Ubuntu系统配置OpenSSL的核心步骤:
-
安装OpenSSL
sudo apt update sudo apt install openssl验证安装:
openssl version。 -
配置环境变量(可选)
- 编辑用户shell配置文件(如
.bashrc):echo 'export PATH=/usr/local/openssl/bin:$PATH' >> ~/.bashrc echo 'export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH' >> ~/.bashrc source ~/.bashrc - 若需从源码安装,需手动指定路径并更新库缓存。
- 编辑用户shell配置文件(如
-
修改配置文件(可选)
- 配置文件路径:
/etc/ssl/openssl.cnf - 备份后编辑:
sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.bak sudo nano /etc/ssl/openssl.cnf可修改加密算法、证书有效期等参数。
- 配置文件路径:
-
生成证书与密钥(可选)
- 自签名证书:
sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/ssl/private/key.pem -out /etc/ssl/certs/cert.pem -days 365 - 服务器证书(需CA):
先生成私钥和CSR,再通过CA签名。
- 自签名证书:
-
配置Web服务器(以Nginx为例)
- 编辑Nginx配置文件:
sudo nano /etc/nginx/sites-available/default添加SSL配置:
server { listen 443 ssl; ssl_certificate /etc/ssl/certs/cert.pem; ssl_certificate_key /etc/ssl/private/key.pem; ssl_protocols TLSv1.2 TLSv1.3; } - 重启服务:
sudo systemctl restart nginx。
- 编辑Nginx配置文件:
安全注意事项:
- 确保私钥文件权限为
600:sudo chmod 600 /etc/ssl/private/*.key。 - 生产环境建议使用受信任CA签发的证书,避免自签名证书的安全风险。
以上步骤参考自。