【笔记】为什么自签名的证书加入trusted列表里还报错self-signed error?

最新推荐文章于 2023-11-12 16:38:56 发布
最新推荐文章于 2023-11-12 16:38:56 发布
阅读量441 收藏
点赞数
分类专栏: Security 文章标签: 自签名 证书 error 可信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prog_6103/article/details/114982206
版权

现在就来解决这个为什么自签名的证书按照网上的步骤加入了可信列表,比如

openssl req -x509 -days 365 -nodes -newkey rsa:4096 \
   -keyout selfSignedCert.key \
   -out selfSignedCert.pem
cp selfSignedCert.pem /etc/ssl/certs
rehash_ca_certificates.sh

明明这个证书已经加入了可信列表,curl也没问题了,为什么其他程序比如git java还是报错说这是个self-signed证书呢?如果关闭了它们的证书验证就会存在一些风险。那怎么办呢?

那是因为上面证书生成的太简单了…而那个可信列表不是给signed的证书的,而是给Certificate Authority的,就是说是给证书机构的证书的。所以想要在dev环境里让我们self-signed的HTTPS证书可信,必须要先生成Certificate Authority证书,然后用这个证书去签署其他需要的证书。

openssl genrsa -des3 -out rootCA.key 4096
(需要输入一个key的密码)
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt
(于是我们得到了机构证书,就是传说中的root证书)

(对于每个HTTPS网站证书)
openssl genrsa -out mydomain.company.key 4096
openssl req -new -key mydomain.company.key -out mydomain.company.csr
(填一填表格吧;Common Name最好是填网站域名mydomain.company,因为有些工具会检测这项)
openssl x509 -req -in mydomain.company.csr \
   -CA rootCA.crt -CAkey rootCA.key -CAcreateserial \
   -out mydomain.company.pem -days 365 -sha256
(这样就签署好了)

剩下的就是比如用这个证书 mydomain.company.pem 和 mydomain.company.key 去配置给nginx,然后在client的系统里把 rootCA.crt 放到ssl/certs里rehash,再curl npm mvn … 就不会有 self-signed 的问题了。

2021:
写完上面的没有问题了,那时还太年轻……
目前的很多app都设置了验证SSL证书的Hostname…比如chrome,你即使有CA,我也不让你访问。
那怎么办呢?

写一个 ssl.conf 的配置文件:

[ req ]
distinguished_name  = req_distinguished_name
req_extetions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = ProvinceName
localityName = Locality Name (eg, city)
localityName_default = CityName
organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = CompanyName
commonName = primaryDomain # e.g. *.test.com
commonName_max  = 64

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.test.com
DNS.2 = wow.test2.com
IP.1 = 127.0.0.1
IP.2 = 192.168.0.100

之后再 openssl req -new -nodes -x509 -keyout ca.key -newkey rsa:4096 -out ca.crt -config ssl.conf -extensions v3_req
这样的话,openssl x509 -text -noout -in ca.crt 就会有Subject Alternative Name 啦;把它放到系统认可的trust列表里,再访问用这个证书保护的网站就不会报错了…

prog_6103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装linux系统提示签名错误,linux – 如何修复“apt-get update时出现无效签名错误?...
weixin_36327582的博客
05-13 1048
每当我尝试sudo apt-get update时,我都会收到这些错误:W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://packages.linuxmin...
MQTT系列:(三)EMQ X配置SSL/TLS,并使用MQTT X进行链接
qq_15506067的博客
09-29 4496
介绍emqx设置ssl/tls的方法
SSL Error:Self signed certificate问题分析及解决
最新发布
专注于大数据领域相关技术推广、学习、交流和合作。
11-12 3263
SSL Error:Self signed certificate问题分析及解决
证书导入浏览器任然显示证书验证失败原因
N阶二进制的博客
11-08 2201
输入网址发现浏览器提示您的连接不是私密连接。错误ERR_CERT_AUTHORITY_INVALID。
如何在Win8.1和Win2012上运用PowerShell快速生成、安装、导出自签名证书 (Self-Signed Certificate)...
weixin_30651273的博客
11-01 330
签名证书用途很广,测试,开发,本地或者云端网站(比如Microsoft Azure Web Site)都会使用到。本文会介绍一种在Win8.1和Win2012 R2上使用PowerShell快速生成自签名证书,自动导出私钥并在LocalMachine\My和LocalMachine\Root下自动安装的方法。非常易用。[这是完整的脚本下载链接 CodePlex 或者 GitHub] 目...
trusted-firmware-m-TF-Mv1.8.0.tar.gz
07-21
Trusted Firmware-M(TF-M)项目是针对ARMv8-M架构的可信执行环境(TEE)的基础框架,它为微控制器提供了安全的启动和执行环境。本文将深入探讨TF-M v1.8.0版本的特性、功能以及其在安全生态系统中的重要性。 首先...
arm-trusted-firmware:Trusted Firmware-A的只读镜像
04-29
可信固件-A Trusted Firmware-A(TF-A)是用于(Armv8-A和Armv7-A)的安全世界软件的参考实现,其中包括Exception Level 3(EL3) 。 它为在AArch32或AArch64执行状态下的安全世界启动和运行时固件产品化提供了一个...
plugin-aws-trusted-advisor:AWS Trusted Advisor Collector
03-03
插件-aws-trustadvisor 适用于AWS Trust Advisor的插件发行公告版本1.0.1 支持data.account_id版本1.0.2 更改flagged_resource。 在受影响的资源中添加表数据版本1.0.3 添加描述标签支持HTML文字
arm-trusted-firmware-v2.3
04-01
它为在AArch32或AArch64执行状态下的安全世界启动和运行时固件产品化提供了一个合适的起点。 TF-A实施Arm接口标准,包括: 该代码旨在可移植并且可在基于Armv8-A和Armv7-A架构的硬件平台和软件模型之间重用。 与...
trusted-firmware-a-2.9.0.tar.gz
07-21
首先,"trusted-firmware-a-2.9.0.tar.gz" 是TF-A项目的源代码压缩包,它采用Gzip压缩格式(.gz)和Tar打包工具(.tar)。通过解压这个文件,我们可以获取到完整的源代码,从而了解和分析其内部结构、功能实现以及...
【https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 3440
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
记一次自签发证书不被信任的解决过程
SimGenius' Tech Blog
11-24 6886
背景 一个前端页面需要与一个本地服务有交流。这个页面处在https环境下,无法调用本地的http接口,需要接口升级为https去调用。 遇到的问题 自签发证书信任证书后,根证书签发的证书总是不被信任。 解决方式 通过Getting Chrome to accept self-signed localhost certificate这个回答的方式搞定了。 中间出了一些小问题。由于缺乏相关知识,想当然认为https证书检查和跨域检查是相同的要素(协议,域名,端口号),写Common的时候就把本地的端口号40
nginx常见报错及解决acme.sh给Nginx配置SSL证书
weixin_50367873的博客
10-20 2121
只要返回ok就说明配置没问题。
Node.js # https配置错误导致的报错Error: self signed certificate
skysys的研究小屋
04-26 5272
使用Nodejs request发起Post请求 multipart/form-data 并且遇到了 这个报错 问题其实是api的ssl配置有问题,因此这取消对ssl的校验 下图关键代码: rejectUnauthorized:false const fs = require('fs'); const request = require('request'); function se...
EMQ X 服务器 SSL/TLS 安全连接配置指南
chengyuchan9575的博客
08-13 2467
前言 EMQ X 内置对 TLS/DTLS 的支持,包括支持单双向认证、X.509 证书等多种身份认证和 LB Proxy Protocol V1/2 等。你可以为 EMQ X 支持的所有协议启用 TLS/DTLS,也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文以自签...
执行Git命令时出现各种 SSL certificate problem: self signed certificate 的解决办法
lhgojob的博客
07-08 7305
用git自带的配置命令: gitconfig--globalhttp.sslVerifyfalse
[ERROR][elasticsearch-service] Unable to retrieve version information from Elasticsearch nodes. self signed certificate in certificate chain
03-29
This error message indicates that the Elasticsearch nodes are using a self-signed SSL certificate, which is not trusted by the client making the request. To resolve this issue, you can do one of the...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值