欢迎您来到,李雷博客 | PHP博客        登录  |  注册
首页 PHP经验分享 随手记 IT号外 代码库 PHP虚拟主机 关于博主

自制(IP或域名)可信任的SSL证书,适用360、chrome等浏览器

更新:2025-03-19 09:15:53
人气:225
来源:本站原创
A+

之前发了几篇关于自制本地SSL证书放在apache下,但本地测试发现自制的SSL证书在浏览器中是不可信任的,即使导入到“受信任的根证书颁发机构”也不行,更别说模拟个域名或是直接用IP制作证书了。

今天分享一个方法,已经成功的示例,前提是自己已经安装过OPENSSL了。

CMD进入到C盘根目录,即:cd C:\,提前准备好private.ext,也放到此目录下,private.ext内容为:

[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = san
extensions          = san
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = BeiJing
localityName        = BeiJing
organizationName    = BJTLJDX
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = IP:10.64.34.147

其中以下需要按需修改:
stateOrProvinceName 代表省份
localityName 城市
organizationName 组织名/公司名字(原创:李雷博客 http://www.mdaima.com)
subjectAltName 必须与上一步的地址一一对应。 

如果为 IP则为:subjectAltName = IP:10.64.34.147
如果为 域名则为:subjectAltName = DNS:mdaima.com

WINDOWS系统下,用IP制作SSL证书:(逐行执行)

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl genrsa -out private.key 2048

openssl req -new -key private.key -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX/CN=10.64.34.147" -sha256 -out private.csr -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl x509 -req -days 36500 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

WINDOWS系统下,用域名制作SSL证书:(逐行执行)

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl genrsa -out private.key 2048

openssl req -new -key private.key -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX/CN=dangxiao.it" -sha256 -out private.csr -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl x509 -req -days 36500 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

最后将private.key、private.csr、private.crt三个文件放到D:\WebServer\Apache24\conf\ssl目录下(根据自己情况修改),我习惯将3个文件更名为ssl,即ssl.key、ssl.csr、ssl.crt。

切记,如果是用的IP或模拟的域名,要将CA.crt发放给用户,自行安装,导入到“受信任的根证书颁发机构”即可,记住一定是CA.crt发给用户,不是private.crt

提示一下:/O=BJTLJDX为自己拟定的颁发机构,自己修改即可,下图为生成后的文件样式。(原创:李雷博客 http://www.mdaima.com)

转载请注明:自制(IP或域名)可信任的SSL证书,适用360、chrome等浏览器 | 李雷博客 - PHP博客
推荐的文章
js获取上传文件类型以及大小的方法
统信UOS如何在root权限下启用浏览器
如何本地制作CRT证书及Apache开启SSL实现局域网的https访问
lodop如何调整文本项行间距字间距
# 发表我的评论
  /     /  
# 最近评论
暂时还没有评论,要不要说点什么?
  Ads by Google
  随手记
  PHP经验分享
  联系博主
Hello,本博客系统采用PHP和MySql开发,程序开发完全是因为个人爱好,是自己纯手写PHP源代码,未采用任何PHP框架!
QQ:858353007   微信号:lileihot123
网站地图
XML地图
随手记
本站声明
博客移动版
会员服务
PHP经验分享
帮助中心
关于我们
联系我们
获取积分
QQ:858353007
  
广告服务
广告优势
付款方式
mdaima@126.com
 加我微信
移动端访问
 
 
Copyright © 2014- 2025 www.mdaima.com All Rights Reserved.
李雷博客,专注PHP经验、PHP教程及PHP源代码开源下载分享的PHP博客!   ICP备案号:京ICP备10202169号-4