创建受浏览器信任的自签名证书

已于 2024-12-04 17:34:58 修改
阅读量840 收藏 6
点赞数 5
分类专栏: 通用 文章标签: 网络协议
于 2024-12-04 17:19:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldWave01/article/details/144243885
版权

原文在这里, 由于步骤步骤有点小问题,及自己的理解,做个笔记。

由于其他文章的签名步骤会导致Chrome 不信任它,比如下面图片
在这里插入图片描述

在这里插入图片描述

创建步骤

安装 openssl (自行安装)

打开 GitBash GUI

创建根证书 (创建 CA.key 及 CA.crt)

注意:在git bash中 -subj "//C=CN\ST=BJ\L=BJ\O=TecDev" 而 不是 -subj "/C=CN/ST=BJ/L=BJ/O=TecDev" 不然会导致路径不识别而报错. 这里会根据命令行不同,路径访问也不同,根据情况自行调整,后续也一样

  • Window GitBash GUI
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj "//C=CN\ST=BJ\L=BJ\O=TecDev" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca
  • Mac Iterm
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=TecDev -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca
    在这里插入图片描述

创建应用独有的证书

创建私钥(private.key)

openssl genrsa -out private.key 2048

根据私钥创建一个证书请求文件csr(private.csr)

根据私钥创建一个证书请求文件csr,注意证书主体的描述使用-subj参数描述,CN必须和应用中请求的地址一致,可以是IP地址或域名
这里使用的是局域网的地址。
openssl req -new -key private.key -subj "//C=CN\ST=BJ\L=BJ\O=TecDev\CN=10.34.135.144" -sha256 -out private.csr

如果为域名也可以改为:-subj "//C=CN\ST=BJ\L=BJ\O=TecDev\CN=www.test.com"

创建证书的扩展描述文件

根据证书请求文件创建证书,创建证书之前需要创建证书的扩展描述文件,如果不使用扩展描述文件,那么谷歌浏览器中无法授信,会提示证书无效。
创建一个名为:private.ext 的文件

[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = san
extensions          = san
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = Guangdong
localityName        = Guangzhou
organizationName    = jimboCesjo
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = IP:10.34.135.144

其中以下需要按需修改:

  • stateOrProvinceName 代表省份
  • localityName 城市
  • organizationName 组织名/公司名字
  • subjectAltName 必须与上一步的地址一一对应。 如果为 域名则为:subjectAltName = DNS:www.test.com

创建最终的 private.crt 证书

openssl x509 -req -days 364 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

所有命令整合

O=TecDev 为证书的颁发机构,可以根据自己情况调整

待创建了 private.ext 后下次使用 创建证书即可一步完成.(将上面的步骤拼起来)

  • Win
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj "//C=CN\ST=BJ\L=BJ\O=TecDev" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca && openssl genrsa -out private.key 2048 && openssl req -new -key private.key -subj "//C=CN\ST=BJ\L=BJ\O=TecDev\CN=10.34.135.144" -sha256 -out private.csr && openssl x509 -req -days 364 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN
  • Mac
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=JimboDev" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca && openssl genrsa -out private.key 2048 && openssl req -new -key private.key -subj "/C=CN/ST=BJ/L=BJ/O=JimboDev/CN=10.34.135.144" -sha256 -out private.csr && openssl x509 -req -days 364 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

检查完整性

最终完成的文件有这些:
如有缺少,请检查命令行的错误信息
在这里插入图片描述
所有步骤截图:
在这里插入图片描述

安装

  • 双击根证书:CA.crt
  • 点击安装
    在这里插入图片描述
  • 本地计算机-下一步
    在这里插入图片描述
  • 选择受信任的根证书颁发机构
    在这里插入图片描述
  • 安装完毕

运行验证。

angular 测试程序,使用https 并且 使用创建的 (private.keyprivate.crt) 证书
ng serve --ssl true --ssl-key ./cert/t2/private.key --ssl-cert ./cert/t2/private.crt --host 0.0.0.0

这样会启动本地的https 服务器,
我们打开Chrome 验证。 (如果不行请重启Chrome,甚至重启电脑)
在这里插入图片描述

解决WindowServer2022关于EDGE浏览器识自签证书问题
weixin_45564816的博客
01-31 1560
在最新版的WindowServer2022中,自签证书在EDGE、Google等浏览器中会出现证书错误、不信任的问题,但是在IE浏览器中可以正常访问,这是我们需要做一些相关操作,使得EDGE可以信任证书。
ragflow开启https访问:浏览器将自签证书添加到信任的根证书颁发机构 ,当证书过期,还需要添加吗?
最新发布
Ven%的博客
04-07 219
通过建立私有CA体系,您只需在客户端一次性安装CA根证书,之后该CA签发的所有证书(包括定期更新的服务器证书)都会自动被信任,实现真正的"一次配置,长期有效"。
https遇到自签名证书/信任证书
weixin_33733810的博客
06-26 1537
对于CA机构颁发的证书Okhttp默认支持 可以直接访问 但是对于自定义的证书就不可以了(如:https ://kyfw.12306.cn/otn/), 需要加入Trust 下面分两部分来写,一是信任所有证书,二是信任指定证书,访问自签名的网站 一、信任所有证书 1. 在你的module 下 build.gradule里添加 dependencies { 、、、 compile 'com.zhy...
制作chrome信任自签名证书
知者乎也的博客
03-24 274
关键点:CN字段需体现CA用途(如"Internal Root CA"),便于后续管理。Web服务器配置中就要使用 combined.crt 此证书。验证服务器证书的SAN 扩展(非常重要)2、执行​生成证书签名(CSR)命令。1、创建包含SAN的CSR配置文件。
创建包含可导入浏览器信任的SSL自签名证书
lggirls的博客
10-15 1626
问题:现在的三大浏览器,chrome、edge、firefox 一般都默认启用https检查,这就要求我们自建的局域网内的网址和其他诸如nextcloud、photoprism、tiddlywiki等应用也必须要有证书。解决方法是使用openssl自己生成一个。由此则会再衍生出一个问题,如何让浏览器信任我们的自签名证书,避免每次都要确认接风险的操作呢?
自签证书让Chrome信任的方式
weixin_43479599的博客
08-18 4827
我要在windows的chrome中访问,在Linux机器上自签了一个证书,准备让windows中的chrome信任。,然后点进去以后选导入,然后选这个证书导入进来,选择将所有证书放入下列存储的时候有个浏览,信任的发布者和信任的根证书颁发机构我都导入了一遍,然后不安全就消失了,websocket也能用了。然后把myssl.crt下载下来,打开chrome://settings,也就是设置,搜索证书,在。然后配置nginx,这里主要看证书部分,就是server往下的5~6行,其他我也懒得删了。
使用mkcert生成nginx SSL证书
NewTWG的专栏
02-24 2671
https本地自签名证书添加到信任证书访问 1、背景 本文适用于基于https(http+ssl)的网站通信、本地调试等,上线是请寻找免费 ssl证书申请。 本地调试过程中,一些特殊的场景需要我使用http+ssl通信,比如在Chrome中使用客户端麦克风。 笔者起初使用以下一些命令,在linux、windows进行自签名,但是没能得到Chrome的信任,本地Chrome版本76.0 1...
DNS服务基础
qq_42227818的博客
04-16 985
1、画出TSL链路的通信图 2、如何让浏览器识别自签的证书 3、搭建DNS服务器 4、熟悉DNSPOD的解析类型 画出TSL链路的通信图 如何让浏览器识别自签的证书 搭建DNS服务器 熟悉DNSPOD的解析类型 ...
浏览器https信任证书生成——openssl颁发信任证书
zw
03-26 1598
解决https访问浏览器提示不安全
Nginx 生成、配置SSL证书&让浏览器信任证书
m0_74824517的博客
02-14 1050
注:-extfile private.ext -extensions SAN 是指告诉OpenSSL从private.ext文件中读取[SAN]下扩展的定义,并将其应用到正在生成的证书中。下面 以上文 “模拟CA机构方式生成证书(生成证书方式二,推荐)” 方式安装CA证书到本地,让浏览器信任证书。注:在访问网站使用的IP或者域名,必须是 subjectAltName 下指定的域名或者IP。正常情况下,用浏览器访问自签名的证书网站,那么浏览器会提示当前网站不安全,证书不信任。安装证书,让浏览器信任证书。
Nginx配置SSL自签名证书的方法
09-30
自签名证书则是由证书持有者自行签署,而不是由信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们...
如何在谷歌浏览器信任私有签发的ssl证书(导入ssl证书)
weixin_43793525的博客
02-28 3658
导入ca证书ca.crt(不是server.crt)到浏览器的–设置–隐私安全–安全–管理证书–信任的根证书颁发机构,关闭浏览器重新打开,私有签发的证书就会被信任。这样网络就是信任了,不会出现红色https与连接不安全了。话不多说,直接上干货。
如何让浏览器信任自己颁发的证书
weixin_30535167的博客
08-22 1222
如何让浏览器信任自己颁发的证书呢? 只要将之前生成的server.crt文件导入到系统的证书管理器就行了,具体方法: 控制面板 -> Internet选项 -> 内容 -> 发行者-> 信任的根证书颁发机构 -> 导入 -》选择server.crt 转载于:https://www.cnblogs.com/dongruiha/p/7412003.html...
OpenSSL自签发证书并实现浏览器的安全访问
Innocence_0的博客
03-02 1383
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。!
网站SSL证书自签名及谷歌浏览器报错提醒处理
mekave的博客
03-20 1836
3、.crt文件:本文件包含S证书的公共密钥、签名信息和不同类型的认证信息。通常,各种签名和签名证书都在这类文件中,如IP;2、.csr文件:文件包括证书的公共密钥和公司内部的一些重要秘密信息,用户只有在请求签名后才能直接生成证书;4、.pem文件:与其他后缀文件相比,该文件更为罕见,其中包含了证书的私密钥和其他部分证书的重要信息。1、.key文件:SSL证书私钥文件,包括SSL证书私钥,是信息内容的中心;又能白嫖了,每年都省出几千几万的成本,老板的嘴角都笑裂开了。下载生成的证书文件,双击运行。
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 2321
自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像CSDN这种,网站使用的证书就是由二级CA颁发的证书。
【前端基建】使用 openssl 自建签名证书颁发给域名或IP地址,使用https访问行项目,让浏览器信任
weixin_40289389的博客
02-10 468
在前端项目开发。调用camera,media 等一些api时浏览器需要用户使用https访问项目于才可以调用相关的api,今天我们就自己生成证书,并让浏览器信任,不用每次手动点击信任
自签名证书创建方法与源代码解析
创建自签名证书的源代码是IT安全中的一个基础知识,但在实际应用中需要谨慎使用,因为自签名证书不会被浏览器或其他客户端信任,除非客户端显式配置信任自签名证书。在生产环境中,应尽量使用由权威CA签发的证书以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值