自定义根证书颁发机构将自签名转化成SSL
本文为使用過逞中的一个工具记载,可实如今当地开启一个 HTTPS 服务器用于开发或测试。
前面有写过使用 Node.js 搭建 HTTPS 服务器 此中的自署名天生证书方法比较简单,既充当 HTTPS 根证书的角色也充当了用户的角色,本文我们会先创建一个 CA 根证书,再创建一个由 CA 根证书署名的自定义证书。
本文从以下几个方面解说:
创建自己的自定义证书颁发机构 CA
使用 CA 根证书署名服务器证书
在 Node.js 服务器中设置证书
添加根证书到当地盘算机的受信托根存储中
创建自己的自定义证书颁发机构 CA
$ openssl ecparam -out ca.key -name prime256v1 -genkey
$ openssl req -new -sha256 -key ca.key -out ca.csr # 以下为需要输入的交互信息 Country Name (2 letter code) []:CN State or Province Name (full name) []:BeiJing Locality Name (eg, city) []:BeiJing Organization Name (eg, company) []:Node.js Organizational Unit Name (eg, p) []:Node.js Common Name (eg, fully qualified host name) []:test.ca.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:abc123***
$ openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
使用 CA 根证书署名服务器证书
$ openssl ecparam -out server.key -name prime256v1 -genkey
$ openssl req -new -sha256 -key server.key -out server.csr # 留意下面服务器证书的 Common Name 不能与上面颁发者 CA 的 Common N!ame 一样 Country Name (2 letter code) []:CN State or Province Name (full name) []:ShangHai Locality Name (eg, city) []:ShangHai Organization Name (eg, company) []:Node.js Organizational Unit Name (eg, p) []:Node.js Common Name (eg, fully qualified host name) []:test.https.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:abc123***
$ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256 # 成功之后有以下提示 Signature ok subject=/C=CN/ST=ShangHai/L=ShangHai/O=Node.js/OU=Node.js/CN=test.https.com Getting CA Private Key
服务端证书中使用到的域名是我们自己定义的,需要在当地 hosts 文件做映射,假如不知道为什么要修改和该怎样修改的参考文章 DNS 域名剖析過逞?github.com/qufei1993/http-protocol/blob/master/docs/dns-process.md
完成之后可以看到如下文件,server.crt 是服务器的证书文件,ca.crt 就是我们创建的根正书。
在 Node.js 服务器中设置证书
const express = require('express'); const https = require('https'); const fs = require('fs'); const app = express(); const PORT = 8443; const options = { key: fs.readFileSync('./cert/server.key'), cert: fs.readFileSync('./cert/server.crt') }; https.createServer(options, app) .listen(PORT, () => console.log(`App listening on port ${PORT}!`)); app.get('/', (req, res) => res.send('Hello World!'));
此时在 Chrome browser中仍无法访问,至少在 Chrome 85.0.4183.121 是这样的,browser中打开证书文件也表现的证书是不受信托的。
为理解决这个问题,继续往下看。
添加根证书到当地盘算机的受信托根存储中
找到我们刚天生的根证书文件,双击打开。
得到如下提示,是由于系统提示新根证书应添加到当前用户下,这样就不会由于测试去影响别的用户,系统根证书是不提议修改的,这会对当前盘算的全部用户见效,别的 Mac 中也是不能修改的。
根据以下步骤添加根证书,修改证书为信托,最后会需要用到密码进行确认
重新打开链接,是有提示的,我们可以继续前去访问,别的证书的状态也表现为了有用。
Reference
- END -
敬请关注「Nodejs技能栈」微信订阅号,获取优质文章,如需投稿可在后台留言与我取得联系。▼
往期出色回首
▼
Node.js 搭建 HTTPS 服务器
震动!这个代码片断竟然会让 V8 内存无法回收?
排查 Node.js 服务内存走漏,没想到竟是它?
acgpower自签证书
单点登录使用 HTTPS › 怎样为 CA 单点登录设置 HTTPS › 设置 SSL 证书 › 将自署名证书转化成证书颁发机构 SSL 证书
将自署名证书转化成证书颁发机构 SSL 证书
在用户打开 CA Performance Center 时,自署名证书提示browser告诫。 要继续操作,用户可以手动忽略这项告诫。 不外,信托的证书颁发机构署名的证书不会出现browser告诫。 下列過逞说明了怎样将自署名证书转化成信托的证书颁发机构署名的证书。
遵照这些步骤:
-
运行以下下令:
cd installDirectory/PerformanceCenter/jetty/etc
-
使用以下下令导出证书署名请求:
keytool -certreq -keystore keystore -storepass storepasswd -alias capc -keypass keypasswd -file requestFileName.csr
- r equestFileName .csr
确定导出的署名请求的路径和文件名。
-
将所得文件 (
requestFileName
.csr) 与请求的任何其他信息一道发送到及格的签订机构。
证书颁发机构将已署名的证书 ( signedCert .cer) 发送给您。 他们还大概提供根证书颁发机构证书 ( rootCA .cer) 来对已署名的证书进行身份验证。
-
使用以下下令确定根证书颁发机构证书是否是 java 信托的默认机构的一部分:
keytool -list -v -keystore installDirectory/jre/lib/security/cacerts -storepass cacertspasswd
-
搜索签订您的证书的证书颁发机构的输出。 假如证书颁发机构未被列出,请使用以下下令将它添加到信托的颁发机构的列表中:
keytool -importcert -keystore installDirectory/jre/lib/security/cacerts -storepass cacertspasswd -alias myRootCa -file rootCA.cer
-
使用以下下令导入已署名的证书:
keytool -importcert -trustcacerts -keystore keystore -storepass storepasswd -alias capc -keypass keypasswd -file signedCert.cer
-
使用以下下令验证 jetty keystore 的内容:
keytool -list -keystore installDirectory/PerformanceCenter/jetty/etc/keystore
您导入的单个证书将表现在列表中。
-
使用这些下令重新启动各个 CA Performance Center 服务:
/sbin/service caperfcenter_sso restart
/sbin/service caperfcenter_devicemanager restart
/sbin/service caperfcenter_console restart
证书颁发机构 SSL 证书将更换您的 keystore 中的自署名证书。
下一步: 设置端口和网站以支持 HTTPS 。
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (安装 Integration Broker 的虚拟机主机名。)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
本文网址: http://www.6vho.com/page/202121182944_4244_3809191643/home