如何创建一个自签名的SSL证书

使用openSSL生成自签名CA和自签名证书：网页链接

自签名SSL证书安全隐患及安全风险：网页链接

自签名SSL证书存在很大的安全隐患和风险，不建议大家安装。具体风险如下：

第一、被“有心者”利用

其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。

第二、浏览器会弹出警告，易遭受攻击

前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续弹出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。

第三、安装容易，吊销难

自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。

第四、超长有效期，时间越长越容易被破解

自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。

如何利用OpenSSL命令建立自签CA？

1、下载并安装OpenSSL；

2、生成Root根证书；

3、生成中间证书intermediate证书；

4、生成三级用户证书；

具体方法步骤请参考：网页链接

延伸阅读：为什么自签名SSL证书不安全？网页链接

• 你好：

• 介绍：SSL利用非对称密码技术进行数据加密。加密过程中使用到两个秘钥：一个公钥和一个与之对应的私钥。使用公钥加密的数据，只能用与之对应的私钥解密；而使用私钥加密的数据，也只能用与之对应的公钥解密。因此，如果在网络上传输的消息或数据流是被服务器的私钥加密的，则只能使用与其对应的公钥解密，从而可以保证客户端与与服务器之间的数据安全。

• 建议：由数字证书颁发机构（CA）对使用私钥创建的签名请求文件做的签名（盖章），表示CA结构对证书持有者的认可。

• 但是，如果需要内部测试使用可以自己做，具体不多说，去这个网页。“https://www.chinassl.net/ssltools/free-ssl.html“

• 详细可参考：”http://www.cnblogs.com/lihuang/articles/4205540.html”
  

• 祝你生活愉快！
  

实际上不建议大家使用自己生成的SSL证书，因为自己生成的SSL证书不安全：
1. 自己生成SSL证书使用的是1024位 RSA 密钥，它是不安全的，各大浏览器均要求停止使用不安全的1024位加密算法；
2. 访问者的连接可能被劫持，黑客可查看所有发送的数据，盗取机密信息；
3. 自己生成SSL证书会导致浏览器发出安全警告，使得潜在客户担心该网站不安全，品牌信誉和客户信任都受到损害； 
4. 不能像受信任证书一样被撤销。