自己如何生成SSL证书？能用吗？

现在很多用户都会想着自己生成SSL证书（即自签名SSL证书），这样可以不用花钱购买就能使用上SSL证书，省去了一大笔开销。殊不知，自己生成的SSL证书并没有那么好用，这是为什么呢？

我们先来了解一下自己如何生成SSL证书。

自己生成SSL证书可以通过OpenSSL的Keytool、Adobe Reader和Apple的密钥链等工具来创建，流程如下：

创建RSA私钥——生成CSR文件（可以使用OpenSSL工具包生成RSA私钥以及CSR文件）——从密钥中删除密码短语——生成自签名SSL证书

自己生成SSL证书之后，安装到服务器上，就可以启用了。

虽然目前还是有很多用户在使用自己生成的SSL证书，但是站在安全的角度考虑，不建议使用，因为它有很多的缺点：

1、生成无门槛，容易被假冒或伪造

自己生成SSL证书因为没有门槛，所以任何人都可以生成，那些不怀好意的人可以做成跟你的证书一模一样，就非常方便地伪造成为有一样证书的假冒网站了。

2、很容易受到SSL中间人攻击

自己生成的SSL证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况，用户必须点信任并继续浏览！这就给中间人攻击造成了可趁之机，非常不安全。

3、有效期太长，容易被破解

自签证书中还有一个普遍的问题是证书有效期太长，短则5年，长则20年、30年的都有，并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱，就多发几年吧，而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是：有效期越长，就越有可能被黑客破解，因为他有足够长的时间来破解你的加密。

4、没有可访问的吊销列表

这是自己生成的SSL证书普遍存在的问题。虽然使用OpenSSL生成证书几分钟就能搞定，但是真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必要功能是证书中带有浏览器可访问的证书吊销列表，如果没有有效的吊销列表，则如果证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。

所以，为了您的网站安全，请勿使用自己生成的SSL证书。建议申请由正规的CA机构颁发的SSL证书，像GeoTrust、Globalsign等都是不错的选择。