1.简介
- 自建CA,利自建CA签发https证书。(不用购买证书、使用https传输、解决信任问题,可以在内网中使用)
- openssl可以做到,但是命令太繁琐,可以使用工具进行操作。 将证书封装exe文件,双击自动静默安装根CA证书
2.创建CA
以管理员的身份运行程序
CA创建完成
3.创建web服务器证书
- 利用上一步的CA签发证书,以管理员的身份运行程序。
4.服务器配置
根据导出来的证书,在web服务器上进行配置。例在Nginx上配置*.crt、*.key文件,crt为证书的一种格式由于服务器返回给浏览器使用,key为私钥用于解密数据使用。
5.客户端配置
客户端需要安装CA后,在客户端的浏览器访问 https://example.com才不会有安全提示。
5.1手动安装
- 客户端安装CA根证书,以crt证书为例子:双击执行-》本地计算机-》将所有的证书放入下列存储-》受信任的根证书颁发机构-》下一步完成。
- 浏览器使用https打开 https://example.com 不会有安全提示。(证书生效有延迟,可以重启系统)
5.2自动安装
使用WinRAR封装成exe,双击自动安装。
- 创建install.bat脚本
rem 将证书导入到受信任的根证书颁发机构
rem 证书路径必须为绝对路径
certutil -f -addstore root "C:\Users\Admin\Desktop\ca\MyCA1.crt" > install.log
- 将InstallCert.bat 和MyCA.crt 放在同一个文件内,使WinRAR压缩为exe可执行程序。
- 高级-》自解压选项-》解压路径(双击时解压,自动解压到C:\Users\Admin\Desktop\ca路径下)
- 设置解压后执行的脚本
- 全程静默执行
- 解压时如果路径下有相同的文件,自动覆盖
- “确定”,到此可执行exe文件制作完成