其实之前就已经发现有这个问题,突然用本地调试的时候就提示证书无效,之前用的还好好的,也没有多想什么。今天刚好需要做新的项目,由于项目本身走全站HTTPS,为了能更快发现掺杂的非HTTPS资源,因此想要在本地配置一个自签名证书,发现怎么配置都不对,由于还忘记了当时配置自签名证书的方法,因此搞了好久,为了防止忘记,特地记录一下。
我看了很多关于自签名的文章,去找签名方法,但配置到apache中总会报错启动失败,这是由于签发的证书真是自签名证书,其实没有CA签名过程,具体看下例:
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
使用的是server.key签名server.csr生成server.crt文件,之前没有发现到,其实这个流程本身有点奇怪,因为本身自签名就不是认证的合法签名,这样签名之后生成的是一个CA签名,而不是域名签名。然而我老是用这种方式进行域名签名,死活不行也是很正常的。
因为我之前已经生成过ROOT CA,因此我只需要生成一个私钥、对应的证书请求文件、并使用ROOT CA生成签名证书就可以了,生成ROOT CA的方式如上面所述,在此就不在阐述
openssl x509 -res -days 3650 -in reqFile -CA caCrtFile -CAkey caPrivateKeyFile -CAserial caSerialFile -out outCrtFile
其实一句话就可以对reqFile签名,但这种方式从Chrome58之后就不能再骗过Chrome浏览器了,会提示证书无效,也就是第一句话所说的问题。找到一篇日志解决此问题: https://medium.com/@kennychen_49868/chrome-58%E4%B8%8D%E5%85%81%E8%A8%B1%E6%B2%92%E6%9C%89san%E7%9A%84%E8%87%AA%E7%B0%BD%E6%86%91%E8%AD%89-12ca7029a933 原因及解决方法讲的很清楚,可以阅读链接文章,在此直接贴解决方案
只需要再创建一个extFile 具体内容为:
authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = localhost
签名的命令行中多加一个参数 -extfile extfilePath
openssl x509 -res -days 3650 -in reqFile -CA caCrtFile -CAkey caPrivateKeyFile -CAserial caSerialFile -extfile extFile -out outCrtFile
签名之后的证书就可以让Chrome重新显示绿锁。
