自簽憑證是什麼?
簡單說就是:
你自己擔任 CA,自己產生一組憑證,然後對自己簽名。
就像你自己印了一張「我保證我是我」的證書貼在門上,但沒有第三方來背書。
自簽憑證的用途
自簽憑證的限制與風險
如何產生自簽憑證(範例指令)
以下為 Linux/macOS 系統上使用 openssl 的範例:
bash
複製編輯# 1. 產生私鑰
openssl genrsa -out myserver.key 2048
# 2. 產生自簽憑證(有效 365 天)
openssl req -new -x509 -key myserver.key -out myserver.crt -days 365
若你希望用於 HTTPS,可以搭配 Nginx 或 Apache 使用:
nginx
複製編輯# Nginx 設定範例
ssl_certificate /path/to/myserver.crt;
ssl_certificate_key /path/to/myserver.key;
若要在組織內「信任」自簽憑證怎麼做?
你可以將自簽憑證安裝到客戶端裝置的信任根憑證清單:
- Windows:使用「憑證管理員 (certmgr.msc)」導入到「受信任的根憑證授權單位」。
- macOS:用 Keychain Access 導入並設為「始終信任」。
- Linux:安裝到
/usr/local/share/ca-certificates/並執行update-ca-certificates。
與 CA 頒發的憑證差異
