自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

自定義根證書(shū)頒發(fā)機(jī)構(gòu) CA 生成自簽名證書(shū)

作者:五月君
安全 應(yīng)用安全
本文為使用過(guò)程中的一個(gè)工具記錄,可實(shí)現(xiàn)在本地開(kāi)啟一個(gè) HTTPS 服務(wù)器用于開(kāi)發(fā)或測(cè)試。我們會(huì)先創(chuàng)建一個(gè) CA 根證書(shū),再創(chuàng)建一個(gè)由 CA 根證書(shū)簽名的自定義證書(shū)。

 [[348373]]

本文為使用過(guò)程中的一個(gè)工具記錄,可實(shí)現(xiàn)在本地開(kāi)啟一個(gè) HTTPS 服務(wù)器用于開(kāi)發(fā)或測(cè)試。我們會(huì)先創(chuàng)建一個(gè) CA 根證書(shū),再創(chuàng)建一個(gè)由 CA 根證書(shū)簽名的自定義證書(shū)。

本文從以下幾個(gè)方面講解:

  • 創(chuàng)建自己的自定義證書(shū)頒發(fā)機(jī)構(gòu) CA
  • 使用 CA 根證書(shū)簽名服務(wù)器證書(shū)
  • 在 Node.js 服務(wù)器中配置證書(shū)
  • 添加根證書(shū)到本地計(jì)算機(jī)的受信任根存儲(chǔ)中

創(chuàng)建自己的自定義證書(shū)頒發(fā)機(jī)構(gòu) CA

  • 生成私鑰
  1. $ openssl ecparam -out ca.key -name prime256v1 -genkey 
  • 生成證書(shū)請(qǐng)求文件
  1. $ openssl req -new -sha256 -key ca.key -out ca.csr     
  2.  
  3. # 以下為需要輸入的交互信息 
  4. Country Name (2 letter code) []:CN 
  5. State or Province Name (full name) []:BeiJing 
  6. Locality Name (eg, city) []:BeiJing 
  7. Organization Name (eg, company) []:Node.js 
  8. Organizational Unit Name (eg, section) []:Node.js 
  9. Common Name (eg, fully qualified host name) []:test.ca.com 
  10. Email Address []: 
  11.  
  12. Please enter the following 'extra' attributes 
  13. to be sent with your certificate request 
  14. A challenge password []:abc123*** 
  • 生成根證書(shū)
  1. $ openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt 

使用 CA 根證書(shū)簽名服務(wù)器證書(shū)

  • 生成私鑰
  1. $ openssl ecparam -out server.key -name prime256v1 -genkey 
  • 生成證書(shū)請(qǐng)求文件
  1. $ openssl req -new -sha256 -key server.key -out server.csr 
  2.  
  3. # 注意下面服務(wù)器證書(shū)的 Common Name 不能與上面頒發(fā)者 CA 的 Common Name 一樣 
  4. Country Name (2 letter code) []:CN 
  5. State or Province Name (full name) []:ShangHai 
  6. Locality Name (eg, city) []:ShangHai 
  7. Organization Name (eg, company) []:Node.js 
  8. Organizational Unit Name (eg, section) []:Node.js 
  9. Common Name (eg, fully qualified host name) []:test.https.com 
  10. Email Address []: 
  11.  
  12. Please enter the following 'extra' attributes 
  13. to be sent with your certificate request 
  14. A challenge password []:abc123*** 
  • 使用 CA 的根證書(shū)為服務(wù)器證書(shū)簽名
  1. $ openssl x509 -req -in server.csr -CA  ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256 
  2.  
  3. # 成功之后有以下提示 
  4. Signature ok 
  5. subject=/C=CN/ST=ShangHai/L=ShangHai/O=Node.js/OU=Node.js/CN=test.https.com 
  6. Getting CA Private Key 

服務(wù)端證書(shū)中使用到的域名是我們自己定義的,需要在本地 hosts 文件做映射,如果不知道為什么要修改和該如何修改的參考文章 DNS 域名解析過(guò)程?github.com/qufei1993/http-protocol/blob/master/docs/dns-process.md

  • 證書(shū)文件列表

完成之后可以看到如下文件,server.crt 是服務(wù)器的證書(shū)文件,ca.crt 就是我們創(chuàng)建的根正書(shū)。

在 Node.js 服務(wù)器中配置證書(shū)

  1. const express = require('express'); 
  2. const https = require('https'); 
  3. const fs = require('fs'); 
  4. const app = express(); 
  5. const PORT = 8443; 
  6. const options = { 
  7.   key: fs.readFileSync('./cert/server.key'), 
  8.   cert: fs.readFileSync('./cert/server.crt'
  9. }; 
  10.  
  11. https.createServer(options, app) 
  12.   .listen(PORT, () => console.log(`App listening on port ${PORT}!`)); 
  13.  
  14. app.get('/', (req, res) => res.send('Hello World!')); 

此時(shí)在 Chrome 瀏覽器中仍無(wú)法訪問(wèn),至少在 Chrome 85.0.4183.121 是這樣的,瀏覽器中打開(kāi)證書(shū)文件也顯示的證書(shū)是不受信任的。

為了解決這個(gè)問(wèn)題,繼續(xù)往下看。

添加根證書(shū)到本地計(jì)算機(jī)的受信任根存儲(chǔ)中

找到我們剛生成的根證書(shū)文件,雙擊打開(kāi)。

得到如下提示,是因?yàn)橄到y(tǒng)提示新根證書(shū)應(yīng)添加到當(dāng)前用戶(hù)下,這樣就不會(huì)因?yàn)闇y(cè)試去影響其它用戶(hù),系統(tǒng)根證書(shū)是不建議修改的,這會(huì)對(duì)當(dāng)前計(jì)算的所有用戶(hù)生效,另外 Mac 中也是不能修改的。

image.png

按照以下步驟添加根證書(shū),修改證書(shū)為信任,最后會(huì)需要用到密碼進(jìn)行確認(rèn)

重新打開(kāi)鏈接,是有提示的,我們可以繼續(xù)前往訪問(wèn),另外證書(shū)的狀態(tài)也顯示為了有效。

Reference

  • support.apple.com/zh-cn/guide/keychain-access/kyca2431/mac
  • configure-the-certificate-in-your-web-servers-tls-settings

本文轉(zhuǎn)載自微信公眾號(hào)「Nodejs技術(shù)棧」,可以通過(guò)以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系Nodejs技術(shù)棧公眾號(hào)。

 

責(zé)任編輯:武曉燕 來(lái)源: Nodejs技術(shù)棧
CA 證書(shū)HTTPS
相關(guān)推薦

2025-01-08 08:57:42

OpenSSL客戶(hù)端通信

2020-06-12 07:59:54

SSL證書(shū)攻擊漏洞

2020-04-28 08:20:28

COVID-19證書(shū)頒發(fā)機(jī)構(gòu)身份驗(yàn)證

2021-01-26 21:00:24

SSL證書(shū)網(wǎng)絡(luò)安全加密

2024-11-28 09:43:54

2016-05-09 11:40:44

2022-11-08 19:30:52

DjangoID自增

2009-08-26 22:14:50

國(guó)產(chǎn)證書(shū)

2009-10-28 10:20:10

2021-06-03 14:57:05

SSL證書(shū)SSL協(xié)議服務(wù)器

2023-05-31 07:32:37

2014-01-24 10:01:24

加密技術(shù)郵件服務(wù)器TLS加密

2025-03-19 08:01:10

Kubernetes集群源碼

2010-03-11 16:20:49

VeriSign根證書(shū)密鑰

2020-06-17 10:52:30

運(yùn)維故障技術(shù)

2021-12-16 16:50:47

NginxSSLLinux

2020-03-12 10:41:35

數(shù)字簽名加密證書(shū)劫持

2009-08-14 11:51:35

EV SSLCA數(shù)字證書(shū)

2011-12-26 09:23:01

Java

2014-04-08 10:54:04

SDN華為敏捷交換機(jī)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)