准备工作与环境配置
生成自签名SSL证书需要安装OpenSSL工具链。Windows系统建议安装到无空格和中文路径的目录(如C:\OpenSSL32\bin),并将安装路径添加至系统环境变量。Linux/macOS系统通常预装该工具,可通过终端直接调用openssl命令。
需创建以下目录结构:
ca
存储CA根证书相关文件certs
存储服务器证书文件
生成CA根证书
执行以下命令生成受信任的CA根证书:
- 创建加密私钥:
openssl genrsa -des3 -out ca/myCA.key 2048 - 生成有效期为20年的根证书:
openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt
Common Name建议设置为可识别名称(如”My FTP Root CA”)
创建FTP服务器证书
为FTP域名生成专用证书:
- 生成服务器私钥:
openssl genrsa -out certs/ftp.example.com.key 2048 - 创建CSR请求文件:
openssl req -new -key certs/ftp.example.com.key -out certs/ftp.example.com.csr
Common Name必须与FTP服务域名完全一致 - 使用CA证书签名:
openssl x509 -req -days 3650 -in certs/ftp.example.com.csr -CA ca/myCA.crt -CAkey ca/myCA.key -CAcreateserial -out certs/ftp.example.com.crt
配置FTP服务使用证书
以VSFTPD服务为例,需在配置文件中指定证书路径:
ssl_enable=YES rsa_cert_file=/path/to/ftp.example.com.crt rsa_private_key_file=/path/to/ftp.example.com.key ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO
配置完成后重启服务生效。客户端需导入CA根证书才能建立信任连接。
安全提示
- 自签名证书需手动分发CA根证书到所有客户端
- 生产环境建议使用商业SSL证书
- 私钥文件需设置600权限
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/682587.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
