为了解决ssl证书签名存在的问题。例如：申请免费ssl证书的时候没有办法再添加dns解析条目，vps没有进行域名备案，使得无法完成正规的ssl证书颁发。SSL自签名并不靠谱，很多浏览器也可能会不认可自签名证书。为了直接根除此问题，我们直接自己作为CA，利用自签名CA证书来签发需要的SSL证书。期间踩了不少坑，最终终于完成。

 ssl.conf

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = GB
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = England
localityName                = Locality Name (eg, city)
localityName_default        = Brighton
organizationName            = Organization Name (eg, company)
organizationName_default    = Hallmarkdesign
organizationalUnitName            = Organizational Unit Name (eg, section)
organizationalUnitName_default    = IT
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = 【SERVER_DOMAIN_NAME_WITH:PORT_NUMBER】

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
IP.1    = 【YOUR_SERVER_PUBLIC_IP】
DNS.1   = 【SERVER_DNS_DOMAIN】

 sign.conf

subjectAltName=IP:【SERVER_IP_ADDRESS】,DNS:【DNS_NAME】

下面是具体的命令。 

cd ~
openssl rand -writerand .rnd

cd 【WORKING_DIRECTORY】

openssl genrsa -des3 -out rootCA.key 4096

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 99999 -out rootCA.crt

openssl genrsa -out server.key 2048

openssl req -new -sha256 -out server.csr -key server.key -config ssl.conf

openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 99999 -sha256 -extfile sign.conf

这里以后端是flask为例。如下配置ssl证书和私钥

ssl_context = ("server.crt", "server.key")

 之后为了完成整条信任链，将rootCA.crt导入为“受信任的根证书”即可。安卓和Windows测试均成功，可以无痛访问https界面，不用443端口更换成别的端口也都一切正常，在前面【SERVER_DOMAIN_NAME_WITH:PORT_NUMBER】标注好端口就可以，比如说test.example.com:6666

 效果图：

可能在访问的时候还会遇到提示没有备案的情况，不过尝试重启了后端服务程序就好了