我自己搭建的 Nginx Web Server 想要提供 HTTPS 连接方式，但是觉得不想花钱去找知名 CA 证书中心 (e.g. AWS Certificate Manager) 购买证书。于是我想通过 Self-Signed 的方式来解决我的需求：

1. 首先生成 Self-Signed CA 证书：

shell
openssl req \
        -newkey rsa:2048 -nodes -keyout self-ca.key \
        -x509 -days 365 -out self-ca.crt

2. 生成 Nginx Web Server 需要的 Private Key & CSR ：

shell
openssl req \
        -newkey rsa:2048 -nodes -keyout nginx.key \
        -out nginx.csr

3. 利用 Self-Signed CA 证书，来签发业务所需要的 CRT 证书：

shell
openssl x509 \
        -req -in nginx.csr \
        -out nginx.crt \
        -CAcreateserial -days 365 \
        -CA self-ca.crt -CAkey self-ca.key

经过了上面 3 个步奏后，你就得到了 self-ca.crt & self-ca.key ，以及由它签发出来的 nginx.crt & nginx.key 。 如何使用上面 4 个文件：首先将 nginx.crt & nginx.key 部署在 Nginx Web Server 上，然后将 self-ca.crt 发布给客户端即可。客户端就可以通过 self-ca.crt 与业务服务器建立 SSL/TLS 安全连接。

生成私钥及证书

shell
openssl req -newkey rsa:4096 -nodes -keyout server.key -x509 -days 365 -out server.crt -subj "/C=CN/ST=st/L=l/O=o/OU=ou/CN=cn/emailAddress=xxx@xxx.com"

生成随机密码

shell
openssl rand -base64 32