Самозаверенный сертификат — специальный тип сертификата, подписанный самим его субъектом. Технически данный тип ничем не отличается от сертификата, заверенного подписью удостоверяющего центра (УЦ), только вместо передачи на подпись в УЦ пользователь создаёт свою собственную сигнатуру. Проще говоря, создатель сертификата сам является в данном случае УЦ. Все корневые сертификаты доверенных УЦ являются самозаверенными.
Поскольку самозаверенный сертификат не заверяется удостоверяющим центром, в соответствии с п. 3.3 RFC 2459, такой сертификат невозможно отозвать. Теоретически, это позволяет осуществить Man-in-The-Middle-атаку, при которой злоумышленник может перехватить сертификат узла-инициатора шифрованного соединения и вместо него отправить узлу назначения свой поддельный, с помощью которого передаваемые данные можно будет дешифровать При этом, подобным образом скомпрометированный сертификат нельзя будет отозвать, так как он не заверен УЦ.
Создадим файлы cert.key и cert.crt, в которых будут храниться секретный ключ и открытый сертификат, основанный на нём. Сертификат будет действителен в течение Х дней; (ключ с опцией -nodes будет нешифрованным). openssl req -x509 -nodes -days X -newkey rsa:2048 -keyout cert.key -out cert.crt
Х нужно заменить на нужное кол-во дней. После вызова команды надо будет ответить на вопросы о владельце и т.д. На вопрос "Common Name” нужно отвечать именем домена для которого планируется использовать этот сертификат.↵В результате выполнения команды у вас будет 2 файла: cert.key(с секретным ключом сервера) и cert.crt(с публичным ключом), которые уже можно использовать в конфигах серверов.
Например(файлы сертификата предварительно положены в каталог /etc/ssl/ ): Nginx server { listen 443; server_name site.ru;
