给本地localhost域名添加https证书
本文介绍如何给本地域名localhost添加证书,但此方法仅限在开发环境使用。在生产环境中,强烈禁止使用自签名证书。
创建认证中心(Certificate authority,CA)
生成RootCA.pem, RootCA.key 以及 RootCA.crt:
openssl req -x509 -nodes -new -sha256 -days 1024 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=US/CN=Example-Root-CA"
openssl x509 -outform pem -in RootCA.pem -out RootCA.crt
Example-Root-CA是一个用例的名称,实际使用中可以把它为你自己要的名字。
域名证书
假设有两个本地机器域名fake1.local和fake2.local,这两个域名使用hosts文件将其指向127.0.0.1。
创建domains.ext列出所有的本地域名:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
DNS.2 = fake1.local
DNS.3 = fake2.local
生成localhost.key, localhost.csr以及localhost.crt文件:
openssl req -new -nodes -newkey rsa:2048 -keyout localhost.key -out localhost.csr -subj "/C=CN/ST=Guandong/L=Shenzhen/O=Example-Certificates/CN=localhost.local"
openssl x509 -req -sha256 -days 1024 -in localhost.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -extfile domains.ext -out localhost.crt
示例里的省份,城市可以替换为自己的地址。
配置webserver,这里的示例使用的是apache:
SSLEngine on
SSLCertificateFile "C:/example/localhost.crt"
SSLCertificateKeyFile "C:/example/localhost.key"
信任本地CA
站点加载有关自签名证书时会有警告。为了获得绿色锁,必须将新的本地CA添加到受信任的根证书颁发机构。
Windows 10: Chrome, IE11 以及 Edge
Windows 10是能识别.crt文件,右键RootCA.crt文件,然后执行安装,就会弹出导入证书的窗口。
这样Chrome,IE11以及Edge就会显示绿色锁。
Window10:Firefox
对于Firefox,有两种方法来让浏览器信任我们自签名的证书:
1、在浏览器的地址栏,打开about:config,把security.enterprise_roots.enabled 设置为true。
2、在浏览器导入证书:
在地址栏输入about:preferences#privacy > 证书(Certificats) > 导入(Import) > RootCA.pem > 确定网站