内网使用openssl自签名证书开启https连接,同时解决chrome浏览器中的不安全访问

最新推荐文章于 2025-05-02 14:29:23 发布
最新推荐文章于 2025-05-02 14:29:23 发布
阅读量1.7w 收藏 49
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/my_interface/article/details/112224658
版权
本文详细介绍如何通过OpenSSL生成自签名SSL证书,并在Nginx服务器中进行配置以实现HTTPS加密访问。此外,还提供了如何解决浏览器信任问题的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、在内网中开启https访问,使用ip,请直接看第二步。如果是外网域名的话,建议直接去从 阿里云或者其他的网站中直接用权威机构颁发的证书。地址

2、请先安装OpenSSL 

3、生成证书

创建根证书
新建anxinCA.cnf文件并输入以下内容:

[ req ]
distinguished_name  = req_distinguished_name
x509_extensions     = root_ca

[ req_distinguished_name ]

# 以下内容可随意填写
countryName             = CN (2 letter code)
countryName_min         = 2
countryName_max         = 2
stateOrProvinceName     = beijing
localityName            = beijing
0.organizationName      = anxin
organizationalUnitName  = technology 
commonName              = anxin
commonName_max          = 64
emailAddress            = concat@anxin.com 
emailAddress_max        = 64

[ root_ca ]
basicConstraints            = critical, CA:true

4、在创建一个文件  anxinServerCA.ext     建议先创建anxinServerCA.txt,修改完毕后再把后缀改为  ext

subjectAltName = @anxin
extendedKeyUsage = serverAuth

[anxin]

# 域名,如有多个用DNS.2,DNS.3…来增加
DNS.1 = 
# IP地址
IP.1 = 192.168.137.1

文件介绍
anxinCA.cnf文件是为申请CA根证书的配置文件;
anxinServerCA.ext是生成服务器证书的扩展配置文件;

打开,cmd中执行 如下命令  注意下面命令中的  anxin CA可以改为自己的信息,然后   /CN=192.168.137.1  也要改为自己要对应的ip

openssl req -x509 -newkey rsa:2048 -out anxinCA.cer -outform PEM -keyout anxinCA.pvk -days 10000 -verbose -config anxinCA.cnf -nodes -sha256 -subj "/CN=anxin CA"

openssl req -newkey rsa:2048 -keyout anxinServerCA.pvk -out anxinServerCA.req -subj /CN=192.168.137.1 -sha256 -nodes
openssl x509 -req -CA anxinCA.cer -CAkey anxinCA.pvk -in anxinServerCA.req -out anxinServerCA.cer -days 10000 -extfile anxinServerCA.ext -sha256 -set_serial 0x1111

6、执行完毕后会生成相应的文件。

7、在nginx中配置https加密文件。 以nginx.conf中修改为例,建议在conf同级别,新建一个文件夹 ssl  ,然后把anxinServerCA.pvk     和anxinServerCA.cer   复制过去,我改名为  cert.pvk  ,cert.cer  (可以不修改)

 server {

    listen 443 default ssl;  #监听443端口

    server_name    www.test000001.com;

    ssl_certificate     /etc/nginx/ssl/cert.cer;

    ssl_certificate_key /etc/nginx/ssl/cert.pvk;

    ssl_session_cache    shared:SSL:1m;

    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;

    ssl_prefer_server_ciphers  on;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {

        root /test_code;

        index index.html;

    }

}

8、此时配置完成之后,打开chrome浏览器访问的时候,会提示不安全。然后  安装客户端证书。 安装步骤如下。

  1)双击 anxinCA.cer 文件    --安装证书 -- 选择本地计算机   - 将所有有证书都放入下列存储   -点击浏览  -  受信任的根证书颁发机构

 

点击确定 ,然后下一步,会提示导入完成。 此时关闭浏览器重新打开,然后左上角的变为了 安全连接,即可。

注意,如果此时还是不安全, 记得一定要重启电脑然后在打开浏览器访问后尝试,如果还不行,在尝试第9步

 

9、此时若还不安全,错误代码:NET::ERR_CERT_AUTHORITY_INVALID

 

 

10、解决办法 。在chrome的地址栏里输入 chrome://net-internals/#hsts    ,把192.168.137.1   从HSTS中删除,如下图: 然后重启浏览器
                  原因在于,chrome浏览器新加入了HSTS策略(见上图红色圈)。使用HSTS策略是chrome加入的新特性,使用该策略的网站,会强制浏览器使用HTTPS协议与该网站通信

删除证书 

【Win+R】—> certmgr.msc —> 操作 —>查找证书 —> 右键删除

参考连接  https://stackoverflow.com/questions/43929436/subject-alternative-name-missing-err-ssl-version-or-cipher-mismatch

 

 

 

my_interface
关注
ragflow开启https访问:使用自签证书还是有安全警告,如何解决
Ven%的博客
04-07 306
背景:在ragflow里的使用了自签证书来启动ragflow,在浏览器里访问还是安全警告,如何解决。此时浏览器再显示警告,地址栏会显示锁标志(具体提示可能因浏览器而异)。,需要你手动获取并安装证书文件。在“系统”钥匙串的“证书”分类中,应能看到你的证书。每台设备均需单独安装证书(可通过内网共享证书文件)。通过 Spotlight 搜索。
关于在外网环境下浏览器能调用浏览器录音功能问题解决
FenNuDeZhongGuo的博客
10-23 4083
问题 : 在浏览器里无法调起获取音频的录音接口,JS报未能加载组件的错误等类似异常,原因是如果浏览器觉得用户所处的行为安全,就会加载录音功能,导致组件无法获取 浏览器打开音频功能允许用户在浏览器内进行录音操作的条件(经同事测试IE最新版没有这个限制,针对大部分浏览器而言有此限制) ① 地址为 localhost: ② 访问的地址是安全的即 https 解决方案:申请证书,将ht...
自签 IP 证书 OpenSSL解决内网 HTTPS 无域名访问问题
谁呀!的博客
04-27 445
在 SSL/TLS 证书体系中,IP 地址证书(即证书主题中包含 IP 而非域名)是一种特殊类型的证书,适用于直接通过 IP 地址访问的服务(如内网 API、IoT 设备等)。找到下图圈的下载,版本重要,选对Win64 OpenSSL要选Light。使用WebRTC需要SSL证书,所以我们需要在局域网自签SSL证书。windows搜索打开,输入环境,选择编辑账户的环境变量。提示这个就是缺失环境,弹出的网站自动下载安装就好了。如果你自己选择了安装路径,根据实际情况填写就好了。
OpenSSL自签发证书并实现浏览器安全访问
xiaolong1155的博客
04-17 3569
前言 实现内网通过IP地址访问某系统,需要使用 https,而且能有安全的提示,如下图:允许这样的情况存在,这就需要使用openssl进行自签解决
本地测试使用自签名证书开启网站https(例子说明:Nginx、Tomcat)
菜鸡的博客
11-22 1169
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL证书是数字证书的一种。
自建https证书,本机访问正常,在外网用谷歌浏览器访问提示安全
weixin_35755823的博客
01-03 1653
如果你在本地安装了自签名的 HTTPS 证书,那么在本地访问是正常的,但是在外网访问时,浏览器会提示安全。这是因为浏览器会检查服务器使用的证书是否是由受信任的证书颁发机构颁发的,而自签名的证书在受信任的证书颁发机构之列,所以浏览器会提示安全。要解决这个问题,你可以申请一个正规的 HTTPS 证书,这样浏览器会提示安全了。 ...
使用自签名SSL证书配置HTTPS解决浏览器提示安全警告
热门推荐
Coding_Zhu的博客
04-20 9万+
项目测试过程中需要将应用从HTTP升级到HTTPS,浏览了网上一些帖子,参考《WebLogic11g-单双向SSL配置(以Springside3为例)》一文使用openssl工具来自建CA,并对秘钥进行自签名,配置到服务器后,可以通过HTTPS正常访问应用,但是浏览器会提示安全警告: 继续浏览则URL栏会变红,警告有证书错误: 这么鲜艳的红框框,一看就让人放心呐!下面来说说怎
SSL基础:24:Chrome浏览器HTTPS证书问题排查方法
知行合一 止于至善
12-16 2660
这篇文章介绍一下在自签名证书使用在nginx中时Chrome浏览器碰到问题的排查方法。
在windows 下用openssl 实现内网HTTPS
jhycjhyc的专栏
08-12 699
上法生成的pfx在windows server 2016 上无法使用,导入时始终提示密码正常,据说在2019上可以使用内网使用openssl自签名证书开启https连接同时解决chrome浏览器中的安全访问。导入pfx到IIS Windows Server 2016 -指定的网络密码正确。在windows客户端导入ca.cer,将正常使用。# 域名,如有多个用DNS.2,DNS.3…在iis 上使用时必须转换为pfx.增加参数如下后可以正常使用
谷歌浏览器显示安全警告的深度解析与解决方案
最新发布
mmoo_python的博客
05-02 563
本文提供的解决方案覆盖从个人用户到企业环境的全场景需求,在安全性和可用性之间构建平衡。建议优先采用证书管理+HSTS策略的组合方案,仅在测试环境临时使用安全浏览禁用选项。定期更新Chrome至最新版本(当前稳定版123.0.6312.86/87)可获得最新的安全补丁和防护机制升级。注:本文所述配置操作可能影响浏览器安全防护能力,请在充分评估风险后实施。生产环境建议咨询网络安全专业人员。
使用自签名CA证书搭建https网站,从http升级到https
weixin_42060512的博客
01-05 6819
使用自签名CA证书从http到https服务器的升级1、申请自签名证书具体操作流程2、配置服务器3配置浏览器3、移动客户端的配置 声明:** 如需转载,请通过邮箱联系本人或者注明出处,未经允许转载,必究 !!! 邮箱:zhangqihao@hnu.edu.cn** 1、申请自签名证书 关于自签名证书,有两个工具,基于openssl和基于keytool,由于本次案例的开发语言是java,所以只介绍k...
使用自签证书利用浏览器进行HTTPS接口的安全访问
卡卡尔的专栏
02-08 8509
HTTPS的基本工作原理想必对于许多开发者来说是非常熟悉的了,还是太熟悉的同学一起先看一下HTTP常见的八股文中的描述以及如何让浏览器信任我们的自签证书,实现https安全连接
Nginx解决通过openssl自签名证书访问Https安全告警的问题
冰之杍的博客
05-10 7226
定义自签名证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox 等浏览器都显示为安全,但是Chrome仍然会标记为安全并警告拦截,这是因为 Chrome 需要证书支持扩展 Subject Alternative Name, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到一个文件中,命名为private.ext。
局域网使用自签名https(SSL)证书
sinco25的博客
05-06 3424
局域网内搭建https web服务器,没有域名,但又必须使用https访问,可使用自签名SSL证书,然后部署到web容器中即可。初次访问时大多数浏览器会提示些网站或证书安全,用管他,点“仍然访问”之类的就行。
浏览器】录音open失败:浏览器禁止安全页面录音,可开启https解决..
日常问题bug解决、学习分享、个人杂谈等等随便写写哈哈哈
11-24 1万+
启动选项,并且添加你本地的开发地址。
Https配置自签名证书教程
九离的博客
08-14 7964
通常我们在开发项目的过程中,一般都是使用的http来进行测试;但当部分项目上线或和其他第三方对接时,需要用到https协议时,此时可能就会有部分和http同的请求方式,为此我们需要在开发或测试环境部署一个https的协议环境,也就是所谓的给ng加上ssl验证;配置自签名证书通常用于开发、测试或在小型内部网络中部署安全的 HTTPS 服务。以下是如何创建并配置自签名证书的步骤,以便在 Web 服务器(例如 Nginx、Apache)上使用
https能用ip访问吗,有证书为什么会提示安全
03-13
<think>好的,用户问为什么用IP访问HTTPS网站会提示安全,即使有证书。我需要分步骤分析原因。首先,HTTPS依赖SSL/TLS证书,证书通常绑定域名而是IP。证书颁发机构(CA)在签发证书时,通常验证域名的所有权,而会验证IP地址。因此,即使服务器配置了证书,如果证书的主题或主题备用名称(SAN)中没有包含IP地址,浏览器就会认为证书无效,导致安全提示。 其次,用户可能误解了“有证书”的情况。可能服务器确实有证书,但该证书是为域名颁发的,而是IP地址。或者用户可能使用的是自签名证书,但自签证书浏览器信任,同样会引发警告。 接下来,需要考虑技术细节。根据RFC 2818,当通过IP地址访问HTTPS时,浏览器会检查证书的SAN中是否有IP地址条目。如果没有,即使证书是有效的,也会触发错误。此外,公共CA通常会为IP地址签发证书,除非是扩展验证(EV)证书,但这很少见且成本高。 另外,服务器配置也可能影响结果。比如,如果服务器配置了SNI(服务器名称指示),但客户端用IP访问时无法提供正确的SNI信息,可能导致服务器返回默认证书,而这个证书可能匹配IP地址,从而引发问题。 用户可能遇到的具体场景包括:在内网使用IP访问服务,但证书是给域名的;或者测试环境使用自签证书,未添加到信任库。解决方案可能有:使用域名访问,申请包含IP的证书(如自签或私有CA),或调整浏览器信任设置。 需要提醒用户注意,公共网站建议使用IP+HTTPS,因为证书问题难以解决,且影响用户体验。内部环境可以通过自签证书并手动信任来处理。</think>\#\#\# 一、问题核心 **根本原因**:HTTPS证书的绑定对象是域名(Subject Alternative Name, SAN),而是IP地址。即使服务器配置了证书,用IP直接访问HTTPS仍会触发证书验证失败,导致浏览器提示安全。 --- \#\#\# 二、详细分析 #### 1. **证书验证规则** - **证书匹配逻辑**:浏览器会检查以下内容: $$ \text{证书有效} \quad \text{AND} \quad \left( \text{域名或IP在证书SAN中} \quad \text{OR} \quad \text{证书为通配符匹配} \right) $$ **关键限制**:公共CA(如Let's Encrypt)签发的证书通常**支持直接绑定IP地址**(除非特定场景,如企业级EV证书)。 #### 2. **IP访问HTTPS的两种场景** | 场景 | 证书类型 | 浏览器表现 | |------|----------|------------| | 证书绑定域名 | 域名证书(如 `example.com`) | 提示“证书匹配” | | 证书绑定IP | IP证书(如 `192.168.1.1`) | 需满足以下条件:<br>- 证书由受信任的CA签发<br>- IP在证书SAN中 | #### 3. **技术限制(RFC标准)** - **RFC 2818**规定:HTTPS服务必须通过域名验证,除非证书明确包含IP地址作为SAN。 - **浏览器行为**:若用IP访问且证书未包含该IP,会触发 `NET::ERR_CERT_COMMON_NAME_INVALID` 错误。 --- \#\#\# 三、解决方案 #### 1. **常规场景(推荐)** - **使用域名访问**:为服务器配置域名(如 `example.com`),并申请该域名的证书。 - **DNS解析**:通过本地Hosts文件或DNS服务器将域名指向目标IP(内网/测试环境常用)。 #### 2. **必须用IP访问的特殊场景** - **自签名证书**(仅限内网或测试环境): ```bash # 生成自签名证书(包含IP地址) openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \ -keyout server.key -out server.crt \ -subj "/CN=192.168.10.110" -addext "subjectAltName=IP:192.168.10.110" ``` **注意**:需手动将证书导入客户端信任库。 - **私有CA签发**(企业内网): 搭建私有CA,签发包含IP地址的证书,并分发CA根证书到客户端设备。 #### 3. **绕过警告(非推荐)** - 浏览器中手动添加例外(访问 `chrome://flags/#allow-insecure-localhost` 可启用本地IP例外)。 - 客户端代码禁用证书验证(仅限开发测试,如 `curl -k`)。 --- \#\#\# 四、典型错误示例 #### 1. **证书未包含IP** - **错误信息**: ``` 此服务器无法证明它是 192.168.10.110 安全证书仅适用于 example.com ``` - **原因**:证书SAN中仅有 `example.com`,无IP地址条目。 #### 2. **自签名证书未受信任** - **错误信息**: ``` 此连接非私密连接 NET::ERR_CERT_AUTHORITY_INVALID ``` - **解决方案**:手动导出服务器证书并安装到客户端。 --- \#\#\# 五、附加建议 - **生产环境避免使用IP+HTTPS**:证书兼容性差且用户体验佳。 - **容器/K8s等场景**:可通过Ingress绑定域名,避免直接暴露IP。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值