openwrt管理后台https自签名制作&获得chrome/edge信任方法

最新推荐文章于 2024-06-09 23:51:35 发布
最新推荐文章于 2024-06-09 23:51:35 发布
阅读量4.3k 收藏 7
点赞数 5
文章标签: chrome https edge
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coolbi5/article/details/128634757
版权

你的openwrt管理后台打开是不是像我这样的:
在这里插入图片描述
有个讨厌的"不安全"提示,因为默认是http协议,新点的浏览器安全规则认为是不安全的,那好吧,换成https协议,又成下面这样了:
在这里插入图片描述
更扯了!搜索研究了半天是uhttpd 证书的问题,最后折腾成下面这样了:
在这里插入图片描述
关于https和ssl 相关知识,比较多,我也没太弄清楚了,就不鬼扯了,感兴趣的自行搜素学习!
下面我就把制作uhttpd自签名和获取chrome/EDGE浏览器信任的方法说一下。
首先要ssh登录到openwrt后台,安装 luci-app-uhttpd, luci-i18n-uhttpd-zh-cn, openssl-util三个包, 命令如下:

opkg update && opkg install luci-app-uhttpd luci-i18n-uhttpd-zh-cn openssl-util

在这里插入图片描述
安装过程还会安装相关依赖包,当然还可以在luci界面“系统–软件包”逐个搜索安装。
在这里插入图片描述
安装好以后,luci-服务,里面会多出来一个uHTTPd服务,后面会用到。
在这里插入图片描述
然后用xshell 或者putty等工具ssh登录到openwrt后台,
为了方便管理生成的证书和密钥,我在U盘挂载的/ff目录下建了一个cert的文件夹,如果你不想大量改动后面的命令,
可以在shell 里面输入 :

mkdir -p /ff/cert

生成一个类似的文件夹,然后就可以 根据域名或ip创建自签名证书了:

  1. 用如下命令生成根证书;
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -subj "/C=CN/ST=Beijing/L=Beijing/O=null" -keyout /ff/cert/CA.key -out /ff/cert/CA.crt -reqexts v3_req -extensions v3_ca

在这里插入图片描述
一顿操作,在/ff/cert目录生成了根证书CA.crt和根证书私钥CA.key,-days 是证书有效期天数,证书主体描述在-subj参数中修改,关于-subj参数意义参考下图,
在这里插入图片描述
2. 创建一个应用证书;
1). 创建应用证书的私钥,命令如下:

openssl genrsa -out /ff/cert/uhttpd_null.key 2048

在这里插入图片描述
2). 根据应用证书的私钥创建一个证书请求文件csr,命令如下:

openssl req -new -key  /ff/cert/uhttpd_null.key -subj "/C=CN/ST=Beijing/L=Beijing/O=null/CN=gee4s.local" -sha256 -out  /ff/cert/uhttpd_null.csr

这句命令没有回显,就不截图了,注意这句命令里面 -subj 里面的/CN 选项,如果你没有给管理地址自定义域名,那就填你的后台管理IP地址,
比如我的lan静态地址是10.6.0.41,自定义域名是gee4s.local 所以可以写成:
/CN=10.6.0.41, 也可以改成:/CN=gee4s.local, 关于怎么给管理地址自定义域名,后面会补充。

3). 根据应用证书请求文件创建应用证书,创建应用证书之前需要创建应用证书的扩展描述文件,如果不使用扩展描述文件,那么浏览器中无法授信,
会提示证书无效,shell中输入 vi /ff/cert/uhttpd_null.ext , 会打开vi编辑器,按英文状态 i 键进入编辑状态,把下面文本粘贴进去;

[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = san
extensions          = san
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = Definesys
localityName        = Definesys
organizationName    = Definesys
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[ alt_names ]
IP.1 = 10.6.0.41
DNS.1 = gee4s.local

注意最后两行,如果你只有ip没有自定义域名就把DNS.1 = gee4s.local 去掉,如果有多个ip或多个域名,就用类似
IP.1 = 10.6.0.41
IP.2 = 10.6.0.42
DNS.1 = test.com
DNS.2 = test.net
这样的方式修改文本,修改完以后 按ESC键退出编辑,然后按 shift+:组合键 输入wq保存,就可以了。
在这里插入图片描述
最后,使用csr,ext、以及根证书CA.crt创建应用证书,命令如下:

openssl x509 -req -days 3650 -in /ff/cert/uhttpd_null.csr -CA /ff/cert/CA.crt -CAkey /ff/cert/CA.key -CAcreateserial -sha256 -out /ff/cert/uhttpd_null.crt -extfile /ff/cert/uhttpd_null.ext -extensions SAN

在这里插入图片描述
自此,所有证书文件创建完毕,查看/ff/cert目录应该有如下图文件:
在这里插入图片描述
3. 应用自签名证书,把/ff/cert目录的uhttpd_null.crt和uhttpd_null.key 复制到/etc目录,因为uhttpd的默认签名uhttpd.crt和uhttpd.key 就在这个目录,方便管理,用下面命令复制,也可以用
winscp之类的软件进行复制;

cp /ff/cert/uhttpd_null.crt /etc/uhttpd_null.crt && cp /ff/cert/uhttpd_null.key /etc/uhttpd_null.key

然后进入luci界面,打开 “服务–uHTTPd”,把默认的HTTPS证书 和 HTTPS私钥 替换成你复制进去的自己生成的,注意勾选 “将所有HTTP重定向到HTTPS”
在这里插入图片描述
运行命令 /etc/init.d/uhttpd restart , 应用更改。

  1. 浏览器授信,其实就是给电脑安装 生成的根证书,用winscp之类的软件把/ff/cert目录的CA.crt 文件下载到电脑指定目录,比如桌面!
    在这里插入图片描述
    双击CA.crt弹出证书安装向导;
    在这里插入图片描述
    在这里插入图片描述
    点击“安装证书”, 默认 当前用户,下一页;
    在这里插入图片描述
    在这里插入图片描述
    证书存储位置选择 “将所有的证书都放入下列存储”,然后点 “浏览”, 选择 “受信任的根证书颁发机构”,下一页;
    在这里插入图片描述
    弹出的安全警告,选择 是,根证书就安装完成了,重启一下电脑,再用浏览器打开 openwrt管理后台,应该就有效果了!

  2. 补充一下怎么自定义后台域名,luci界面,点 网络—DHCP/DNS—常规设置–地址 按照 /router.local/10.6.0.1 (也就是/自定义域名/ip)的格式填好
    然后保存并应用 就可以了,
    在这里插入图片描述
    另外,把hosts 也改一下,输入 vi /etc/hosts用vim编辑hosts文件,把ip 域名添加进去,保存退出,就可以了
    在这里插入图片描述
    至此,全部折腾完工了,水品有限,如有纰漏,请指正!另外,折腾过程中涉及部分危险操作,请谨慎尝试!

coolbi5
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决WindowServer2022关于EDGE浏览器识自签证书问题
weixin_45564816的博客
01-31 823
在最新版的WindowServer2022中,自签证书EDGE、Google等浏览器中会出现证书错误、不信任的问题,但是在IE浏览器中可以正常访问,这是我们需要做一些相关操作,使得EDGE可以信任证书
OpenWrt后台管理启用https-OpenSSL
Bug 终结者的专栏
02-02 2万+
OpenWrt 默认使用http 访问管理后台,这样不安全,推荐修改为 https 访问,加密数据传输。本文介绍配置步骤 1、卸载旧的ssl软件包 root@OpenWrt:~# opkg remove luci-ssl px5g px5g-mbedtls 这里一定要卸载 px5g 相关的软件包,否则会使用px5g 脚本生成证书,而不是下面的 openssl 2、安装软件包 安装OpenSSL版...
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
AriaGIS
04-01 1万+
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
使用mkcert生成nginx SSL证书
NewTWG的专栏
02-24 2511
https本地自签名证书添加到信任证书访问 1、背景 本文适用于基于https(http+ssl)的网站通信、本地调试等,上线是请寻找免费 ssl证书申请。 本地调试过程中,一些特殊的场景需要我使用http+ssl通信,比如在Chrome中使用客户端麦克风。 笔者起初使用以下一些命令,在linux、windows进行自签名,但是没能得到Chrome信任,本地Chrome版本76.0 1...
【安装笔记-20240609-Linux-在阿里云服务器上安装 OpenWRT
最新发布
David唐辉的博客
06-09 1139
本文记录在阿里云主机上安装运行 OpenWRT 的步骤。实验使用的电脑如下:OpenWrt项目是一个针对嵌入式设备定制的Linux操作系统。本文介绍了在阿里云主机上安装运行 OpenWRT 的步骤,并给出了解决所遇问题的方法
OpenSSL生成自签名证书脚本(免交互脚本、nginx配置、Chrome信任
pskzs的博客
06-21 2304
linux下,测试或局域网环境使用OpenSSL生成自签名证书、nginx配置及Chrome浏览器信任
自签证书Chrome信任的方式
weixin_43479599的博客
08-18 3796
我要在windows的chrome中访问,在Linux机器上自签了一个证书,准备让windows中的chrome信任。,然后点进去以后选导入,然后选这个证书导入进来,选择将所有证书放入下列存储的时候有个浏览,受信任的发布者和受信任的根证书颁发机构我都导入了一遍,然后不安全就消失了,websocket也能用了。然后把myssl.crt下载下来,打开chrome://settings,也就是设置,搜索证书,在。然后配置nginx,这里主要看证书部分,就是server往下的5~6行,其他我也懒得删了。
mac 浏览器(chrome, safari)信任签名证书
weixin_30414245的博客
03-02 1万+
mac 浏览器(chrome, safari)信任签名证书签名证书创建了一个 https 服务器,但是浏览器访问的时候总是不信任证书,感觉很烦,就想如果信任这个证书就不会有问题了。 方法1: 直接用safari访问这个网站(eg:https://172.26.167.82) 直接点击详细信息->访问此网站 接下来跟着提示步骤操作,结束之后你就会发现可以了,已经信任了这个证书,你再...
DNS服务基础
qq_42227818的博客
04-16 928
1、画出TSL链路的通信图 2、如何让浏览器识别自签的证书 3、搭建DNS服务器 4、熟悉DNSPOD的解析类型 画出TSL链路的通信图 如何让浏览器识别自签的证书 搭建DNS服务器 熟悉DNSPOD的解析类型 ...
如何在谷歌浏览器上信任私有签发的ssl证书(导入ssl证书
weixin_43793525的博客
02-28 1577
导入ca证书ca.crt(不是server.crt)到浏览器的–设置–隐私安全–安全–管理证书–受信任的根证书颁发机构,关闭浏览器重新打开,私有签发的证书就会被信任。这样网络就是信任了,不会出现红色https与连接不安全了。话不多说,直接上干货。
如何让浏览器信任自己颁发的证书
weixin_30535167的博客
08-22 1163
如何让浏览器信任自己颁发的证书呢? 只要将之前生成的server.crt文件导入到系统的证书管理器就行了,具体方法: 控制面板 -> Internet选项 -> 内容 -> 发行者-> 受信任的根证书颁发机构 -> 导入 -》选择server.crt 转载于:https://www.cnblogs.com/dongruiha/p/7412003.html...
openwrt:https
04-12
行动OpenWrt 使用GitHub Actions构建OpenWrt 下载 检查sha256sums sha256sum -c sha256sums --ignore-missing 用法 存储库,或单击“按钮创建新的存储库。 使用源代码生成.config文件。 (您可以通过工作流文件中的环境变量来更改它。) 将.config文件推送到GitHub存储库中,构建会自动开始。 .config可以在``操作''页面上查看。 构建完成后,单击“操作”页面右上角的Artifacts按钮以下载二进制文件。 尖端 创建.config文件和构建OpenWrt固件可能需要很长时间。 因此,在创建存储库以构建自己的固件之前,您可以通过来检查其他人是否已经构建了满足您需要 。 将您所构建固件的一些元信息(例如固件体系结构和已安装的软件包)添加到存储库简介中,这将节省其他人的时间。 生成.co
openWRT设置中文admin后台及配置SSH登录
热门推荐
Murphy
10-09 4万+
openWRT设置中文admin后台及配置SSH登录
openWrt】自定义后台访问端口
源林氏的笔记本
01-10 1842
修改/ect/config/uhttpd文件。通过ssh访问openwrt系统。再重启openwrt即可。
解决自签名证书Chrome上的“不是私密连接问题”
脉脉情缘的博客
02-03 2490
一、生成证书 1、创建根证书 新建MyCompanyCA.cnf文件并输入以下内容: [ req ] distinguished_name = req_distinguished_name x509_extensions = root_ca [ req_distinguished_name ] # 以下内容可随意填写 countryName = CN (2 letter code) countryName_min = 2 countryName_max
OpenSSL创建的自签名证书chrome端无法信任
8O13的博客
12-17 2万+
文章目录问题描述原因概述解决方案修改待用的openssl配置文件创建证书对tomcat配置证书 问题描述 ArcGIS Enterprise环境下往往需要创建自签名证书。小编之前提供的利用OpenSSL创建自签名证书方法chrome上再次遇到了证书无效的错误: 原因概述 Chrome浏览器要求证书中必须包含“Subject Alternative Names”这一参数。 解决方案 修改待用的...
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 1820
自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像CSDN这种,网站使用的证书就是由二级CA颁发的证书
Chrome签名证书配置
haowai501的博客
05-10 7345
如何让Chrome接受自签名的本地主机证书1. Chrome浏览器访问如下地址chrome://flags/#allow-insecure-localhost2. 下拉框选择 "Enabled"3. 重启(Relaunch)Chrome浏览器
LWN: OpenWrt和自签名证书
Linux News搬运工
12-09 3252
关注了就能看到更多这么棒的文章哦~OpenWrt and self-signed certificatesBy Jake EdgeNovember 18, 2020DeepL assis...
openwrt怎么制作自己的页面?
06-02
制作自己的 OpenWrt 页面,您需要了解以下几个步骤: 1. 编写 HTML/CSS/JavaScript 页面代码:您可以使用任何文本编辑器,比如 Notepad++、Sublime Text、VS Code 等,编写您的页面代码。 2. 创建 OpenWrt 主题目录:在 OpenWrt 设备中,进入 /usr/share/themes/ 目录,创建一个名为您主题名称的目录,例如 mytheme。 3. 将页面代码放入主题目录:将您编写的 HTML/CSS/JavaScript 代码放入您创建的主题目录中。 4. 创建主题配置文件:在您创建的主题目录中,创建一个名为 theme.conf 的文件。在该文件中,您可以设置主题的名称、作者、描述等信息。 5. 切换主题:在 OpenWrt 设备中,进入系统设置,选择“主题”,选择您创建的主题即可。 请注意,如果您想要在 OpenWrt 上运行 JavaScript,您需要在设备上安装 LuCI 的 uhttpd-mod-lua 模块。您可以通过执行以下命令来安装该模块: ``` opkg update opkg install uhttpd-mod-lua ``` 希望这些信息对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值