内网使用openssl自签名证书开启https连接,同时解决chrome浏览器中的不安全访问

最新推荐文章于 2024-04-18 08:51:26 发布
最新推荐文章于 2024-04-18 08:51:26 发布
阅读量1.2w 收藏 40
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/my_interface/article/details/112224658
版权

1、在内网中开启https访问,使用ip,请直接看第二步。如果是外网域名的话,建议直接去从 阿里云或者其他的网站中直接用权威机构颁发的证书。地址

2、请先安装OpenSSL 

3、生成证书

创建根证书
新建anxinCA.cnf文件并输入以下内容:

[ req ]
distinguished_name  = req_distinguished_name
x509_extensions     = root_ca

[ req_distinguished_name ]

# 以下内容可随意填写
countryName             = CN (2 letter code)
countryName_min         = 2
countryName_max         = 2
stateOrProvinceName     = beijing
localityName            = beijing
0.organizationName      = anxin
organizationalUnitName  = technology 
commonName              = anxin
commonName_max          = 64
emailAddress            = concat@anxin.com 
emailAddress_max        = 64

[ root_ca ]
basicConstraints            = critical, CA:true

4、在创建一个文件  anxinServerCA.ext     建议先创建anxinServerCA.txt,修改完毕后再把后缀改为  ext

subjectAltName = @anxin
extendedKeyUsage = serverAuth

[anxin]

# 域名,如有多个用DNS.2,DNS.3…来增加
DNS.1 = 
# IP地址
IP.1 = 192.168.137.1

文件介绍
anxinCA.cnf文件是为申请CA根证书的配置文件;
anxinServerCA.ext是生成服务器证书的扩展配置文件;

打开,cmd中执行 如下命令  注意下面命令中的  anxin CA可以改为自己的信息,然后   /CN=192.168.137.1  也要改为自己要对应的ip

openssl req -x509 -newkey rsa:2048 -out anxinCA.cer -outform PEM -keyout anxinCA.pvk -days 10000 -verbose -config anxinCA.cnf -nodes -sha256 -subj "/CN=anxin CA"

openssl req -newkey rsa:2048 -keyout anxinServerCA.pvk -out anxinServerCA.req -subj /CN=192.168.137.1 -sha256 -nodes
openssl x509 -req -CA anxinCA.cer -CAkey anxinCA.pvk -in anxinServerCA.req -out anxinServerCA.cer -days 10000 -extfile anxinServerCA.ext -sha256 -set_serial 0x1111

6、执行完毕后会生成相应的文件。

7、在nginx中配置https加密文件。 以nginx.conf中修改为例,建议在conf同级别,新建一个文件夹 ssl  ,然后把anxinServerCA.pvk     和anxinServerCA.cer   复制过去,我改名为  cert.pvk  ,cert.cer  (可以不修改)

 server {

    listen 443 default ssl;  #监听443端口

    server_name    www.test000001.com;

    ssl_certificate     /etc/nginx/ssl/cert.cer;

    ssl_certificate_key /etc/nginx/ssl/cert.pvk;

    ssl_session_cache    shared:SSL:1m;

    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;

    ssl_prefer_server_ciphers  on;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {

        root /test_code;

        index index.html;

    }

}

8、此时配置完成之后,打开chrome浏览器访问的时候,会提示不安全。然后  安装客户端证书。 安装步骤如下。

  1)双击 anxinCA.cer 文件    --安装证书 -- 选择本地计算机   - 将所有有证书都放入下列存储   -点击浏览  -  受信任的根证书颁发机构

 

点击确定 ,然后下一步,会提示导入完成。 此时关闭浏览器重新打开,然后左上角的变为了 安全连接,即可。

注意,如果此时还是不安全, 记得一定要重启电脑然后在打开浏览器访问后尝试,如果还不行,在尝试第9步

 

9、此时若还不安全,错误代码:NET::ERR_CERT_AUTHORITY_INVALID

 

 

10、解决办法 。在chrome的地址栏里输入 chrome://net-internals/#hsts    ,把192.168.137.1   从HSTS中删除,如下图: 然后重启浏览器
                  原因在于,chrome浏览器新加入了HSTS策略(见上图红色圈)。使用HSTS策略是chrome加入的新特性,使用该策略的网站,会强制浏览器使用HTTPS协议与该网站通信

删除证书 

【Win+R】—> certmgr.msc —> 操作 —>查找证书 —> 右键删除

参考连接  https://stackoverflow.com/questions/43929436/subject-alternative-name-missing-err-ssl-version-or-cipher-mismatch

 

 

 

my_interface
关注
  • 3
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网页录音之麦克风权限问题
qq_40556950的博客
03-22 4244
我们之前有谈到H5麦克风录音问题,不能以file文件形式打开。最近在弄的时候上线之后又发现了新的问题,故而再来写一下。 在本地打开的时候,谷歌、火狐、opera、Edge都是可以打开权限进行录音的(IE不行)。大致如图1.1所示: 具体的实现大概如图1.2所示: 但是在上线之后只有Edge可以录音,谷歌、狐火、Opera都不行,具体如下: 最后在查找的时候,发现是权限问...
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
03-30
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
自签内网IP https证书并部署
落叶
11-13 5459
内网IP自签https证书,并且部署到nginx和Tomcat。使其可以通过https访问本地服务,并且取消浏览器的https告警。
openssl内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 5826
openssl内网IP生成ca证书(ssl证书)
视频监控平台公网语音对讲要如何配置,(web客户端语音对讲)不安全页面录音问题解决
最新发布
weixin_70208651的博客
04-18 1438
配置了国标语音对讲的功能,web客户端出错;采用https访问,提供ssl证书,配置https的端口;找到“隐私设置和安全性”,可以查看摄像头和麦克风的权限;要正确配置权限;在浏览器地址栏上输入chrome://flags/#unsafely-treat-insecure-origin-as-secure;将html页面右侧Disabled 改成 Enabled;点relunch,重启谷歌浏览器。(chrome,firefox火狐,360浏览器,腾讯浏览器,edge等配置类似)
生成自签名泛域名通配符证书,您可以使用 OpenSSL 工具
twins3520的博客
06-06 1313
在这个过程,您需要输入一些信息,比如国家、省份、城市、组织、通用名称等。在通用名称,您需要使用通配符来表示泛域名,比如 *.example.com。完成以上步骤后,您就可以使用生成的 domain.pem 证书文件来配置您的服务器了。要生成自签名泛域名通配符证书,您可以使用 OpenSSL 工具。在这个过程,您可以指定证书的有效期。
OpenSSL自签发证书并实现浏览器的安全访问
xiaolong1155的博客
04-17 3178
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决
Nginx解决通过openssl签名证书访问Https报不安全告警的问题
冰之杍的博客
05-10 4966
定义自签名证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox 等浏览器都显示为安全,但是Chrome仍然会标记为不安全并警告拦截,这是因为 Chrome 需要证书支持扩展 Subject Alternative Name, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到一个文件,命名为private.ext。
局域网使用签名https(SSL)证书
sinco25的博客
05-06 1968
局域网内搭建https web服务器,没有域名,但又必须使用https访问,可使用签名SSL证书,然后部署到web容器即可。初次访问时大多数浏览器会提示些网站或证书安全,不用管他,点“仍然访问”之类的就行。
自建https证书,本机访问正常,在外网用谷歌浏览器访问提示不安全
weixin_35755823的博客
01-03 1322
如果你在本地安装了自签名HTTPS 证书,那么在本地访问是正常的,但是在外网访问时,浏览器会提示不安全。这是因为浏览器会检查服务器使用证书是否是由受信任的证书颁发机构颁发的,而自签名证书不在受信任的证书颁发机构之列,所以浏览器会提示不安全。要解决这个问题,你可以申请一个正规的 HTTPS 证书,这样浏览器就不会提示不安全了。 ...
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书的命令和基本验证命令。
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
Nginx配置SSL自签名证书的方法
09-30
4. **自签发证书**:使用`openssl x509`命令,结合之前生成的CSR和私钥,自签发一个有效期为365天的证书,`openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt`。 接下来,我们需要...
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
openssl生成https证书
weixin_34049948的博客
12-08 109
为什么80%的码农都做不了架构师?>>> ...
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 3419
Nginx
openssl生成https证书及nginx https配置
爱兰河少
05-31 2301
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https
轻松解决签名证书安全
热门推荐
Coding13的博客
12-31 1万+
轻松解决签名证书安全!(以下过程为windows下的操作过程) 本地服务需要支持https服务的时候,之前最常用到的就是使用openssl生成自签名证书来支持https。但是使用签名证书在浏览器里面就会遇到证书“不安全”的提示,为了解决证书“不安全”往往是煞费苦心。 现在在这里为大家提供一个简单使用的工具和方法,可以轻松实现本地服务支持https,而且是证书安全https,彻底解决证书“不...
【浏览器】录音open失败:浏览器禁止不安全页面录音,可开启https解决..
日常问题bug解决、学习分享、个人杂谈等等随便写写哈哈哈
11-24 4856
启动选项,并且添加你本地的开发地址。
使用openssl签名证书
02-07
使用 OpenSSL签名证书的步骤如下: 1. 首先,需要安装 OpenSSL 工具。如果你使用的是 Windows 操作系统,可以在这里下载 OpenSSLhttps://slproweb.com/products/Win32OpenSSL.html 2. 在命令行执行以下命令来生成私钥: ``` openssl genrsa -out private.key 2048 ``` 3. 使用私钥生成自签名证书签名请求 (CSR): ``` openssl req -new -key private.key -out csr.pem ``` 4. 在生成签名请求后,你需要回答一些问题,包括你的名字、组织名称、国家和地区等信息。这些信息将被写入 CSR 文件。 5. 使用私钥和签名请求生成自签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey private.key -out certificate.pem ``` 6. 这样,你就可以使用签名证书来进行加密通信了。 注意:自签名证书只能用于测试或开发,因为它没有被任何可信的证书机构 (CA) 签发。如果你需要用于生产环境的证书,建议申请正规的 CA 签发的证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值