OpenSSL提供了加密库和特性。我们可以使用OpenSSL读取DER文件来生成随机数。但最常用的功能之一是创建自签名证书，

自签名证书

X509是当今互联网和企业中使用的证书标准。X509证书用于在X509证书之间创建树状信任层次结构。例如，Google是一个受信任的实体 poftut.com 是另一个被Google信任的实体，所以我们用这个信任关系创建了一个链。但正如我们看到的，总是有根的。自签名证书不由其他证书签名，这意味着它们可以用作根证书或独立证书。

创建自签名证书

我们可以使用OpenSSL创建一个自签名的X509证书 req 动词。其他选择包括

• 算法是RSA
• 密钥大小为4096位
• 格式为PEM
• 有效期至365天

$ openssl req -x509 -newkey rsa:4096 -keyout mycert.pem -out cert.pem -days 360

创建自签名证书而不加密

在上一步中，我们将使用以下短语询问密码

我们可以使用 -node 选项如下。

$ openssl req -x509 -node -newkey rsa:4096 -keyout mycert.pem -out cert.pem -days 360

自签名证书错误和警告

如前所述，自签名证书不能与其他证书建立信任关系。这通常会产生一些错误和警告，尤其是浏览器。浏览器使用证书颁发机构根证书检查所提供证书的信任。因为自签名证书不是由他们中的任何人签名的，所以浏览器将显示一条警告消息。

相关文章： 如何用OpenSSL生成随机数和密码