盛世嫡妃凤轻小说,遮天辰东小说笔趣阁,好看的历史书籍推荐

新聞中心

這里有您想知道的互聯網營銷解決方案

自定義根證書頒發(fā)機構CA生成自簽名證書

[[348373]]

創(chuàng)新互聯建站是一家集網站建設,新榮企業(yè)網站建設,新榮品牌網站建設,網站定制,新榮網站建設報價,網絡營銷,網絡優(yōu)化,新榮網站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯網需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網站。

本文為使用過程中的一個工具記錄，可實現在本地開啟一個 HTTPS 服務器用于開發(fā)或測試。我們會先創(chuàng)建一個 CA 根證書，再創(chuàng)建一個由 CA 根證書簽名的自定義證書。

本文從以下幾個方面講解：

創(chuàng)建自己的自定義證書頒發(fā)機構 CA
使用 CA 根證書簽名服務器證書
在 Node.js 服務器中配置證書
添加根證書到本地計算機的受信任根存儲中

創(chuàng)建自己的自定義證書頒發(fā)機構 CA

生成私鑰

 
 
 
 
  
  
  
  $ openssl ecparam -out ca.key -name prime256v1 -genkey

生成證書請求文件

 
 
 
 
  
  
  
  $ openssl req -new -sha256 -key ca.key -out ca.csr       
  
  
     
  
  
  # 以下為需要輸入的交互信息   
  
  
  Country Name (2 letter code) []:CN   
  
  
  State or Province Name (full name) []:BeiJing   
  
  
  Locality Name (eg, city) []:BeiJing   
  
  
  Organization Name (eg, company) []:Node.js   
  
  
  Organizational Unit Name (eg, section) []:Node.js   
  
  
  Common Name (eg, fully qualified host name) []:test.ca.com   
  
  
  Email Address []:   
  
  
     
  
  
  Please enter the following 'extra' attributes   
  
  
  to be sent with your certificate request   
  
  
  A challenge password []:abc123***

生成根證書

 
 
 
 
  
  
  
  $ openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt

使用 CA 根證書簽名服務器證書

生成私鑰

 
 
 
 
  
  
  
  $ openssl ecparam -out server.key -name prime256v1 -genkey

生成證書請求文件

 
 
 
 
  
  
  
  $ openssl req -new -sha256 -key server.key -out server.csr   
  
  
     
  
  
  # 注意下面服務器證書的 Common Name 不能與上面頒發(fā)者 CA 的 Common Name 一樣   
  
  
  Country Name (2 letter code) []:CN   
  
  
  State or Province Name (full name) []:ShangHai   
  
  
  Locality Name (eg, city) []:ShangHai   
  
  
  Organization Name (eg, company) []:Node.js   
  
  
  Organizational Unit Name (eg, section) []:Node.js   
  
  
  Common Name (eg, fully qualified host name) []:test.https.com   
  
  
  Email Address []:   
  
  
     
  
  
  Please enter the following 'extra' attributes   
  
  
  to be sent with your certificate request   
  
  
  A challenge password []:abc123***

使用 CA 的根證書為服務器證書簽名

 
 
 
 
  
  
  
  $ openssl x509 -req -in server.csr -CA  ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256   
  
  
     
  
  
  # 成功之后有以下提示   
  
  
  Signature ok   
  
  
  subject=/C=CN/ST=ShangHai/L=ShangHai/O=Node.js/OU=Node.js/CN=test.https.com   
  
  
  Getting CA Private Key

服務端證書中使用到的域名是我們自己定義的，需要在本地 hosts 文件做映射，如果不知道為什么要修改和該如何修改的參考文章 DNS 域名解析過程?github.com/qufei1993/http-protocol/blob/master/docs/dns-process.md

證書文件列表

完成之后可以看到如下文件，server.crt 是服務器的證書文件，ca.crt 就是我們創(chuàng)建的根正書。

在 Node.js 服務器中配置證書

 
 
 
 
  
  
  
  const express = require('express');   
  
  
  const https = require('https');   
  
  
  const fs = require('fs');   
  
  
  const app = express();   
  
  
  const PORT = 8443;   
  
  
  const options = {   
  
  
    key: fs.readFileSync('./cert/server.key'),   
  
  
    cert: fs.readFileSync('./cert/server.crt')   
  
  
  };   
  
  
     
  
  
  https.createServer(options, app)   
  
  
    .listen(PORT, () => console.log(`App listening on port ${PORT}!`));   
  
  
     
  
  
  app.get('/', (req, res) => res.send('Hello World!'));

此時在 Chrome 瀏覽器中仍無法訪問，至少在 Chrome 85.0.4183.121 是這樣的，瀏覽器中打開證書文件也顯示的證書是不受信任的。

為了解決這個問題，繼續(xù)往下看。

添加根證書到本地計算機的受信任根存儲中

找到我們剛生成的根證書文件，雙擊打開。

得到如下提示，是因為系統提示新根證書應添加到當前用戶下，這樣就不會因為測試去影響其它用戶，系統根證書是不建議修改的，這會對當前計算的所有用戶生效，另外 Mac 中也是不能修改的。

image.png

按照以下步驟添加根證書，修改證書為信任，最后會需要用到密碼進行確認

重新打開鏈接，是有提示的，我們可以繼續(xù)前往訪問，另外證書的狀態(tài)也顯示為了有效。

Reference

support.apple.com/zh-cn/guide/keychain-access/kyca2431/mac
configure-the-certificate-in-your-web-servers-tls-settings

本文轉載自微信公眾號「Nodejs技術?！?，可以通過以下二維碼關注。轉載本文請聯系Nodejs技術棧公眾號。

分享文章：自定義根證書頒發(fā)機構CA生成自簽名證書
文章源于：http://m.fisionsoft.com.cn/article/dppgggs.html

新聞中心

其他資訊