自签名

生成命令

使用openssl生成私钥和证书。

openssl req -x509 -newkey rsa:4096 -nodes  -days 365 -subj "/CN=localhost" -addext "subjectAltName=DNS:localhost" -keyout cert.key -out cert.crt
# or
openssl req -x509 -newkey rsa:2048 -nodes -days 365 -sha256 -subj '/CN=localhost'  -addext "subjectAltName=DNS:localhost"   -keyout private-key.pem -out certificate.pem

• -x509 ：生成自签名证书
• -newkey rsa:4096 ：生成 4096 位 RSA 密钥
• -keyout ：指定私钥输出路径
• -out ：指定证书输出路径
• -days 365 ：证书有效期 365 天
• -nodes ：不加密私钥
• -subj "/CN=localhost" ：设置证书主题为 localhost
• -addext "subjectAltName=DNS:localhost"：配置SAN扩展

如果提示subject name格式不正确，就修改-subj "//CN=localhost"，多加一个/。

subjectAltName配置很重要，浏览器需要确保访问的 URL 和证书中的CN/SAN完全匹配

配置好之后，应该会在当前目录生成cert.key和cert.crt两个文件或private-key.pem和certificate.pem两个文件。

安装

如果要让浏览器正确识别有两种方法：安装证书和浏览器证书管理器。

安装证书

双击cert.crt后点击安装证书或右击cert.crt选择安装证书。

将证书存储为受信任的根证书颁发机构。

浏览器证书管理器

在浏览器中可以导入自定义证书。
可以在浏览器设置中直接搜索证书，一般在隐私或安全下面可以找到管理证书。
下面分别是Chrome和Edge的管理证书。


谷歌浏览器还支持自定义导入，不需要安装证书到系统，只需要导入即可识别。

也可以选择管理系统导入的证书。

点击导入，选择证书文件cert.crt，选择证书存储在受信任的根证书颁发机构。

安装完成后开始测试。

导入证书之前：

导入证书之后：

可以看到证书生效了。

使用 node 创建简单的服务器测试代码。

import express from 'express'
import https from 'node:https'
import fs from 'node:fs'
import path from 'node:path'const app = express()// 加载SSL证书，使用`cert.key, cert.crt`或者`private-key.pem, certificate.pem`
const sslOptions = {key: fs.readFileSync(path.resolve('D:/OpenSSL/ca', 'cert.key')),cert: fs.readFileSync(path.resolve('D:/OpenSSL/ca', 'cert.crt'))
}app.use(express.static(import.meta.dirname))// 创建HTTPS服务器
const server = https.createServer(sslOptions, app)server.listen(3000, () => {console.log('HTTPS 服务启动成功，端口: 3000')
})

如果运行报错：ERR_OSSL_X509_KEY_VALUES_MISMATCH，这表明证书秘钥不匹配。

首先确认证书和秘钥是否匹配：

openssl x509 -noout -modulus -in cert.crt | openssl md5 && \
openssl rsa -noout -modulus -in cert.key | openssl md5

如果哈希值不匹配需要重新生成证书和秘钥。如果问题还存在，那可能需要完全删除旧证书并重新生成。