简单自建SSL证书(ios无法使用)

已于 2024-03-22 18:07:34 修改
阅读量591 收藏 9
点赞数 5
分类专栏: ssl 文章标签: ssl ios 网络协议
于 2024-03-22 17:53:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43278717/article/details/136947917
版权
本文详细指导了如何创建根证书,生成服务器证书,配置Nginx以使用这些证书,并处理iOS客户端导入rootCA的问题。涉及openssl工具的使用和SSL证书管理的最佳实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 生成根证书

创建根证书密钥文件:

openssl genrsa -out rootCA.key 2048

创建根证书的申请文件(10年有效期)

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem

在这里插入图片描述
方框中请认真填写

2、使用根证书生成服务器证书

为域名app.xxx.com生成服务器密钥

openssl genrsa -out app.xxx.com.key 2048

为域名app.xxx.com证书签名请求(CSR)


openssl req -new -key app.xxx.com.key -out app.xxx.com.csr

在这里插入图片描述
Common Name (eg, your name or your server’s hostname) []: 这里填写你的域名,也可以使用通配符:*.xxx.com,这样所有子域名都可以使用这个证书
创建一个配置文件v3.ext,以确保创建的证书包含正确的扩展:

uthorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = app.xxx.com

subjectAltName 可以指定多个,如DNS.2 = app2.xxx.com
使用根证书和根密钥为app.xxx.com签发证书

openssl x509 -req -in app.xxx.com.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out app.xxx.com.crt -days 3650 -sha256 -extfile v3.ext

3、配置Nginx

将生成的私钥(server.key)和证书(server.crt)用于你的Nginx配置。编辑你的Nginx配置文件(通常位于/etc/nginx/目录下),添加或修改以下行来指定证书和私钥的位置:

server {
    listen 443 ssl;
    server_name app.xxx.com;

    ssl_certificate /path/to/your/server.crt;
    ssl_certificate_key /path/to/your/server.key;

    # 其他配置...
}

重新加载Nginx配置

sudo nginx -s reload

4、IOS无法使用此证书,缺少必要的拓展以及过期时间设置过长

可参考我的另一篇文章:自建SSL证书(兼容ios)

5、客户端需要导入rootCA.pem证书

查看另一篇文章:SSL浏览器导入自建证书

SSL 自定义证书创建过程
UX_LEGEND的专栏
05-16 1777
证书是公钥基础设施(PKI)中的顶级证书,它用来签署其他证书,包括中间证书和最终用户证书。根证书通常由证书颁发机构(CA)生成和自签名。客户端只需要信任一次根证书。任何由根证书签署的证书,都能被客户端验证。更新后的服务端证书依然由同一个根证书签署,确保了信任链的完整性。通过这个类比,您可以更直观地理解根证书和服务端证书之间的信任关系,以及为什么客户端在根证书不变的情况下可以持续信任更新后的服务端证书
iOS-理解SSL证书
12-02 776
为什么要用HTTPS 简单地说,HTTP是明文协议,通过该协议传输的数据处在被窃听、篡改、冒充这三大风险中,已经是非常不安全的传输协议。HTTPS是加密协议,就是在HTTP的基础上开启一条SSL加密通道,让原本明文“裸奔”的数据,从加密通道中密文传输,保证了数据传输的安全性。 目前,全球互联网正在进行从HTTP到HTTPS的大迁移,苹果一向非常关注用户隐私安全,在执行安全策略方面,态度也是非...
自建SSL证书(兼容ios
xgw的专栏
04-01 1059
SSL/TLS服务器证书,特别是那些用于HTTPS网站的证书,有几个关键的扩展和属性是必要的,以确保证书可以被客户端(如浏览器)正确识别和信任。这些细节对于确保加密连接的安全性至关重要。以下是一些关键的证书详情和扩展:主题备用名称 (Subject Alternative Name, SAN)SAN字段允许证书指定多个资源名称(比如,多个域名或IP地址)。对于现代的浏览器和客户端,此字段几乎是必需的,因为它们会检查访问的域名是否包含在证书的SAN中。密钥用途 (Key Usage, KU)
如何申请免费的SSL/TLS证书
最新发布
2301_78938567的博客
03-14 2654
SSL(Secure Sockets Layer,安全套接字层)是一种加密协议,用于在计算机网络上保护数据的传输。SSL的主要作用是通过加密通信内容来确保数据在传输过程中的机密性、完整性和身份验证。它通常用于网页浏览器与服务器之间的安全通信(即HTTPS协议),确保用户与网站之间的信息交换不会被第三方窃取或篡改。为什么需要SSL:数据加密:SSL通过加密传输的数据,确保黑客无法窃取或读取通信内容。这对敏感信息,如个人资料、支付信息等至关重要。
nginx 自建ssl证书
机器重启员的博客
03-30 1932
ssl原理 浏览器发送一个https的请求给服务器服务器要有一套数字证书,可以自己制作(后面的操作就是我自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥; 服务器会把公钥传输给客户端; 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提...
不租服务器自建个人商业网站(申请SSL证书
qq_63013137的博客
08-25 101
想要让一个网站能拥有稳定的访问量,提高网站的安全性是必不可少的前提条件,而想要让我们的网站附加商业用途,提高安全性更是不可少,现在获得广泛应用的https协议,正是提升网站安全性的重要手段。以较为简单的方式来说,https协议就是让被访问的网站增加一个经过加密的安全声明,让访客的电子设备能够将这个网站识别为安全网站,同时有效降低网站被劫持的可能性。今天,我们就为大家介绍,如何为我们的网站域名申请相应的安全证书,从而适应https协议。
【Java】自建IOS应用(IPA)发布服务器
Mr_EvanChen的Blog
07-10 1076
简单描述一下总的过程:在某个后台上(版本发布平台)上传原始的ipa文件,解析ipa(主要是解析info.plist,从中获取软件名、版本、icons等;解析embedded.mobileprovision,获取证书过期时间),生成一个新的plist文件,最终将ipa、新的plist、图标上传至发布服务器。这个plist文件里面会指向这个ipa的地址,最终在Safari上访问 itms-services://?action=download-manifest&url=plist文件 就可...
Bark 使用指南:如何自建 iOS 消息推送服务
Xpitz的博客
05-27 9055
文章首发于个人公号:「阿拉平平」 之前我写过一个脚本,校验 SSL 证书是否过期并定时将结果以邮件的形式告知。事实上,这些消息并不是那么重要,发送邮件未免有些「重」了,将结果直接推送到自己的手机上可能更加合适。于是我找到了这款开源的消息推送服务:Bark。 项目介绍 Bark[1] 是一款开源的消息推送服务,用于给 iPhone 发送自定义的内容,支持文字和链接。通过部署 Bark 服务端,我们可以安全地推送一些敏感信息。 下载安装 Bark 分为客户端和服务端。其中,客户端用于接收消息;服务端用于推送.
grasscutter 使用指南——Android/Windows/IOS端均已支持
热门推荐
Echidna_的博客
05-15 5万+
基于grasscutter的某国产二次元手游服务器搭建,windows/ios/Android端连接简易教程,已全部验证。
自建 Bitwarden 密码管理器!完全免费开源,轻量级,安全又可靠!
u010291330的博客
10-16 1557
部署非常简单,尤其是通过Docker,只需少量的配置就可以启动服务,安全稳定又可靠。而且 Bitwarden 大部分高级付费功能可以通过手动配置或第三方集成来免费实现。SSH远程连接工具,可以选择开源的WindTerm 【
nginx配置自建SSL证书
AlbertS Home of Technology
12-08 1309
之前的一篇文章《自建CA并生成自签名SSL证书》中讲到为什么要自建CA和自签名SSL证书,是因为买证书得花钱,对于内部或小规模项目,使用自建SSL证书可能更为方便,不需要支付费用,而且不涉及复杂的验证过程。正式对外的服务一般都是要买公共证书颁发机构(CA)签发的SSL证书的,但是在对外发布前可以先使用自建证书打通流程nginx配置自建SSL证书,只需要修改nginx配置文件,在端口后配置添加 ssl 并指定证书和私钥路径即可...
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 1万+
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
HTTPS与自制SSL证书
u010148813的专栏
12-15 5576
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
自建ssl证书进行https访问
u014761412的博客
01-04 5120
生成自建证书 生成私钥文件 openssl genrsa -out private.key 1024 # -out 参数指定密钥文件存放的位置和名字,1024是指密钥文件的长度,一般为1024或者2048 生成一个证书请求 openssl req -new -key private.key -out cert_req.csr # 指定密钥密钥文件来生成一个ca请求 # 这个步骤会要求填入...
关于配置SSL,但是无法使用https访问的问题
weixin_44638539的博客
03-26 803
docker run -p 80:80 -p 443:443 容器 (我已经在这里两次犯错了)1 server_name www.a.cn;这里的www不能省略。2 将证书上传到服务器,例如nginx目录中。3 在nginx中配置(根据自己的域名配置)先总结步骤,具体看以看腾讯云或者阿里云的文档。2 宿主机的防火墙要打开。
iOS描述文件签名工具:轻松实现安全签名
gitblog_09803的博客
10-15 1338
iOS描述文件签名工具:轻松实现安全签名 【下载地址】iOS描述文件签名工具 本仓库提供了一个用于iOS的mobileconfig文件签名工具,帮助用户轻松实现苹果描述文件的签名操作。该工具支持在Windows系统上使用SSL证书或P12证书进行一键签名,操作简单,适合各类用户使用 ...
安全篇 ━━ windows2008自建证书、IIS配置https服务器及浏览器报错处理
暂时先用这个名字
01-04 3795
1.安装CA证书服务器 开始菜单 > 管理工具 > 服务器管理器 选择左侧树形菜单“角色”节点,右键“添加角色”勾选“Active Directory 证书服务”,点“下一步”按钮 点击“下一步”按钮 点击“下一步”按钮,会弹出“添加角色向导”界面 点击“添加所需的角色服务”按钮 点击“下一步”按钮 指定安装类型,选择“企业”,点击“下一步”按钮, 企业:需要域环境 独立:不需要域环境 选择“根”,点击“下一步”按钮 选择 “新建私钥”,点击“下一步”按钮 选择加密服务提供程序:“
HTTPS服务-CA证书服务搭建
weixin_68416970的博客
07-21 1960
HTTPS服务-CA证书服务搭建
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值