[[348373]]
創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),新榮企業(yè)網(wǎng)站建設(shè),新榮品牌網(wǎng)站建設(shè),網(wǎng)站定制,新榮網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,新榮網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)��,幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力�?�?沙浞譂M足這一群體相比中小企業(yè)更為豐富����、高端、多元的互聯(lián)網(wǎng)需求��。同時我們時刻保持專業(yè)�、時尚��、前沿����,時刻以成就客戶成長自我,堅持不斷學(xué)習(xí)����、思考、沉淀��、凈化自己�����,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站�����。
本文為使用過程中的一個工具記錄�,可實現(xiàn)在本地開啟一個 HTTPS 服務(wù)器用于開發(fā)或測試。我們會先創(chuàng)建一個 CA 根證書�����,再創(chuàng)建一個由 CA 根證書簽名的自定義證書。
本文從以下幾個方面講解:
- 創(chuàng)建自己的自定義證書頒發(fā)機構(gòu) CA
- 使用 CA 根證書簽名服務(wù)器證書
- 在 Node.js 服務(wù)器中配置證書
- 添加根證書到本地計算機的受信任根存儲中
創(chuàng)建自己的自定義證書頒發(fā)機構(gòu) CA
- $ openssl ecparam -out ca.key -name prime256v1 -genkey
- $ openssl req -new -sha256 -key ca.key -out ca.csr
-
- # 以下為需要輸入的交互信息
- Country Name (2 letter code) []:CN
- State or Province Name (full name) []:BeiJing
- Locality Name (eg, city) []:BeiJing
- Organization Name (eg, company) []:Node.js
- Organizational Unit Name (eg, section) []:Node.js
- Common Name (eg, fully qualified host name) []:test.ca.com
- Email Address []:
-
- Please enter the following 'extra' attributes
- to be sent with your certificate request
- A challenge password []:abc123***
- $ openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
使用 CA 根證書簽名服務(wù)器證書
- $ openssl ecparam -out server.key -name prime256v1 -genkey
- $ openssl req -new -sha256 -key server.key -out server.csr
-
- # 注意下面服務(wù)器證書的 Common Name 不能與上面頒發(fā)者 CA 的 Common Name 一樣
- Country Name (2 letter code) []:CN
- State or Province Name (full name) []:ShangHai
- Locality Name (eg, city) []:ShangHai
- Organization Name (eg, company) []:Node.js
- Organizational Unit Name (eg, section) []:Node.js
- Common Name (eg, fully qualified host name) []:test.https.com
- Email Address []:
-
- Please enter the following 'extra' attributes
- to be sent with your certificate request
- A challenge password []:abc123***
- $ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256
-
- # 成功之后有以下提示
- Signature ok
- subject=/C=CN/ST=ShangHai/L=ShangHai/O=Node.js/OU=Node.js/CN=test.https.com
- Getting CA Private Key
服務(wù)端證書中使用到的域名是我們自己定義的����,需要在本地 hosts 文件做映射,如果不知道為什么要修改和該如何修改的參考文章 DNS 域名解析過程?github.com/qufei1993/http-protocol/blob/master/docs/dns-process.md
完成之后可以看到如下文件�,server.crt 是服務(wù)器的證書文件,ca.crt 就是我們創(chuàng)建的根正書����。
在 Node.js 服務(wù)器中配置證書
- const express = require('express');
- const https = require('https');
- const fs = require('fs');
- const app = express();
- const PORT = 8443;
- const options = {
- key: fs.readFileSync('./cert/server.key'),
- cert: fs.readFileSync('./cert/server.crt')
- };
-
- https.createServer(options, app)
- .listen(PORT, () => console.log(`App listening on port ${PORT}!`));
-
- app.get('/', (req, res) => res.send('Hello World!'));
此時在 Chrome 瀏覽器中仍無法訪問,至少在 Chrome 85.0.4183.121 是這樣的�,瀏覽器中打開證書文件也顯示的證書是不受信任的。
為了解決這個問題���,繼續(xù)往下看���。
添加根證書到本地計算機的受信任根存儲中
找到我們剛生成的根證書文件,雙擊打開���。
得到如下提示��,是因為系統(tǒng)提示新根證書應(yīng)添加到當(dāng)前用戶下�����,這樣就不會因為測試去影響其它用戶���,系統(tǒng)根證書是不建議修改的��,這會對當(dāng)前計算的所有用戶生效,另外 Mac 中也是不能修改的���。
image.png
按照以下步驟添加根證書��,修改證書為信任�����,最后會需要用到密碼進行確認(rèn)
重新打開鏈接�,是有提示的�,我們可以繼續(xù)前往訪問,另外證書的狀態(tài)也顯示為了有效����。
Reference
- support.apple.com/zh-cn/guide/keychain-access/kyca2431/mac
- configure-the-certificate-in-your-web-servers-tls-settings
本文轉(zhuǎn)載自微信公眾號「Nodejs技術(shù)棧」,可以通過以下二維碼關(guān)注�����。轉(zhuǎn)載本文請聯(lián)系Nodejs技術(shù)棧公眾號�����。
文章標(biāo)題:自定義根證書頒發(fā)機構(gòu)CA生成自簽名證書
網(wǎng)頁路徑:
http://uogjgqi.cn/article/dppgggs.html
