本文主要参考了:
NGINX 配置本地HTTPS(双向认证) - 肖祥 - 博客园
https://ask.dcloud.net.cn/article/39567
https://blog.csdn.net/weixin_34387468/article/details/91855502
我主要使用openssl工具来生成的https证书,但是网上大多数是用keytool。其实最重要的是设置正确的SAN信息。(这里介绍了SAN设置)。
生成正确SAN信息的证书,首先要生成3对证书,一个是根证书,用来签发子证书。一个server证书,用来放服务器端。一个client证书,用来放到客户端。
然后将server和client的证书,使用根证书签发。
# CA根证书
openssl req -new -nodes -keyout ca.key -out ca.csr -days 3650 -config ./openssl.cnf
# server证书
openssl req -new -nodes -keyout server.key -out server.csr -days 3650 -config ./openssl2.cnf
# client证书
openssl req -new -nodes -keyout client.key -out client.csr -days 3650 -config ./openssl2.cnf
# 查看证书 是否带san Subject Alternative Name字段是否有值
# csr格式
openssl req -text -noout -in server.csr
# crt格式
openssl x509 -text -noout -in client.crt
# 签名 带SAN签名
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req
另外附上证书各种格式转换命令
# 转P12 (uniapp需要)
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "client"
# crt转pem
openssl x509 -in client.crt -out client.pem -outform PE
# crt转cer
openssl x509 -in server.crt -out server.cer -outform der
openssl x509 -in client.crt -out client.cer -outform der
# 转der (ios需要)
openssl x509 -in client.crt -outform der -out client.der
# curl 测试证书命令:
curl --cacert ca.crt --cert client.crt --key client.key --tlsv1.2 --insecure https://gateway.xxx.cn/api/_sys/health
看别人踩坑,铺平自己的路,欢迎关注猿界汪汪队;