如何使用 SAN 创建 OpenSSL 自签名证书?
How to create an OpenSSL Self-Signed Certificate using SAN?
截至最新的 Chrome 60+,如果没有 SAN,它会在 HTTPS 页面上抛出错误。 OpenSSL 命令行不添加这些扩展。
没关系,自己想通了。
OpenSSL CLI 允许 -subj 标志来设置有关证书颁发机构 (CA) 的信息,但无法使用命令行添加主题备用名称 (SAN)。所以我不得不求助于调用 -config ,然后调用我想作为简单配置加载的文件。对于创建自签名证书,这应该足够了,但不适用于生产:
# ./config/tiny_openssl.conf
[CA_default]
copy_extensions = copy
[req]
default_bits = 4096
prompt = no
default_md = sha256
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
[req_distinguished_name]
C = US
ST = Washington
L = Seattle
O = My Company
OU = IT Department
emailAddress = it@mycompany.com
CN = mycompany.com
[v3_ca]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
[alternate_names]
DNS.1 = localhost
DNS.2 = *.localhost
DNS.3 = app.localhost
# ...
[alternate_names] 值必须与生成的证书在 SSL 下提供服务的站点的 url 相匹配。 localhost 或 app.localhost 之类的东西可以工作。然后,我们使用此配置启动 OpenSSL。
$ openssl req -x509 -newkey rsa:4096 -sha256 -utf8 -days 365 -nodes \
-config ./config/tiny_openssl.conf \
-keyout ./certificates/private.key \
-out ./certificates/ssl/certificate.crt
在 Windows 10 中添加此 .crt 文件作为 受信任的根证书颁发机构 ,重新启动 Chrome 和 Web 服务器,瞧瞧.
如果您担心 HTTP 事务中的性能,可以将 rsa 位更改为 2048 位。
这可能仅适用于服务器和浏览器之间的内部测试。如果您需要具有 100% 有效 SSL 证书的更完整和可靠的解决方案,您应该制作一个 CA,一个 CRS,然后用该 CA 签署 CRS,这将产生一个有效的自签名证书:
截至最新的 Chrome 60+,如果没有 SAN,它会在 HTTPS 页面上抛出错误。 OpenSSL 命令行不添加这些扩展。
没关系,自己想通了。
OpenSSL CLI 允许 -subj 标志来设置有关证书颁发机构 (CA) 的信息,但无法使用命令行添加主题备用名称 (SAN)。所以我不得不求助于调用 -config ,然后调用我想作为简单配置加载的文件。对于创建自签名证书,这应该足够了,但不适用于生产:
# ./config/tiny_openssl.conf
[CA_default]
copy_extensions = copy
[req]
default_bits = 4096
prompt = no
default_md = sha256
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
[req_distinguished_name]
C = US
ST = Washington
L = Seattle
O = My Company
OU = IT Department
emailAddress = it@mycompany.com
CN = mycompany.com
[v3_ca]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
[alternate_names]
DNS.1 = localhost
DNS.2 = *.localhost
DNS.3 = app.localhost
# ...
[alternate_names] 值必须与生成的证书在 SSL 下提供服务的站点的 url 相匹配。 localhost 或 app.localhost 之类的东西可以工作。然后,我们使用此配置启动 OpenSSL。
$ openssl req -x509 -newkey rsa:4096 -sha256 -utf8 -days 365 -nodes \
-config ./config/tiny_openssl.conf \
-keyout ./certificates/private.key \
-out ./certificates/ssl/certificate.crt
在 Windows 10 中添加此 .crt 文件作为 受信任的根证书颁发机构 ,重新启动 Chrome 和 Web 服务器,瞧瞧.
如果您担心 HTTP 事务中的性能,可以将 rsa 位更改为 2048 位。
这可能仅适用于服务器和浏览器之间的内部测试。如果您需要具有 100% 有效 SSL 证书的更完整和可靠的解决方案,您应该制作一个 CA,一个 CRS,然后用该 CA 签署 CRS,这将产生一个有效的自签名证书: