如何自签名私有SSL证书：稳定保持内网https访问

本文介绍如何自签名私有SSL证书，以在内网环境中实现稳定的HTTPS访问。内容涵盖生成自签名证书的步骤，包括使用OpenSSL创建CA、生成服务器证书、配置Web服务器等。同时，讲解如何在客户端安装受信任根证书，以避免浏览器安全警告。文章还提供证书有效期管理与续签建议，确保HTTPS长期稳定运行，适用于企业内网、开发测试环境及个人私有服务器的安全访问需求。

通过在线工具快速创建

可以自定义设置密钥类型、密钥长度、通用名称、有效天数、SAN、密钥用法、增强型密钥用法，以及是否签发为CA，然后点击生成自签名证书就可以完成自签名证书的生成。

其中除了通用名称为必填项之外，其他的如果不清楚其具体含义可以保持默认，通用名称的部分就是SSL所对应的域名，因为是自签名证书，浏览器是不认可的，因此SSL工具站点基本都是免费的，可以随便找SSL工具类站点生成即可。

服务器配置

生成SSL证书之后，就可以将获取的证书私钥和已签名证书用于配置服务器，完成服务器配置之后，对应的网站以及域名就可以通过https进行访问。

本文以宝塔服务器的配置为例：

获取的证书私钥填写在密钥（KEY）下面的方框中，获取的已签名证书复制并粘贴到证书（PEM格式）下的空白处，然后保存并启用证书就完成了服务器的配置。在保存之后可以看到是否开启强制https访问的选项，请根据实际情况选择。

浏览器配置

因为咱们使用的是自签名证书，因此需要让浏览器知道，这个链接是可以信任的，避免自己访问的时候提示不安全，因此需要在生成证书的页面点击「下载PFX」，对的会提示输入密码以便于保护文件，记住这个密码在安装或者是导入证书的时候会用到，下载之后通过浏览器导入为信任证书。

下载之后，双击或者是通过证书管理器导入进入到证书导入流程，其中会提示输入证书密码，除了上图所示其他保持默认下一步即可，证书需要导入到对对对「受信任的根证书颁发机构」。除此之外的其他选项只需要保持默认即可。

在内网或者是测试环境下使用自签名证书是非常方便的，尤其是随着主流浏览器不支持1年以上证书的情况下，免费证书基本就只有3个月的期限了，这对于长期从事测试或者是长期用于内网的情况是非常不友好的，私有的https价值就凸显出来了。