这是一个创建于 1090 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 我的初始要求:
- 证书有效时间长,少折腾。
- 免费
- 证书在全平台都可以安装,尤其是 iOS 设备。
- 由于国内云的限制,所有带域名的,都无法逃过被拦截,所以可以用 IP+端口+证书的方式访问。
- 服务端种类比较,一张证书能长期解决。
效果图:
基于以上要求,我试了很多方法,one-self-signed-cert-to-rule-them-all-chrome-android-and-ios可以签出全平台通用的域名证书。
以下部分是关于IP 证书自签的:
- 首先创建个配置文件 openssl.cnf
[ req ] default_bits = 2048 default_keyfile = ca.key default_md = sha256 default_days = 825 encrypt_key = no distinguished_name = subject req_extensiOns= req_ext x509_extensiOns= x509_ext string_mask = utf8only prompt = no [ subject ] countryName = US stateOrProvinceName = Oklahoma localityName = Stillwater organizatiOnName= My Company OU = Engineering commOnName= 你的 IP emailAddress = [email protected] # Section x509_ext is used when generating a self-signed certificate. I.e., openssl req -x509 ... [ x509_ext ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicCOnstraints= critical, CA:TRUE keyUsage = critical, digitalSignature, keyEncipherment, cRLSign, keyCertSign subjectAltName = IP:你的 IP extendedKeyUsage = serverAuth extendedKeyUsage = TLS Web Server Authentication [ req_ext ] subjectKeyIdentifier = hash basicCOnstraints= CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = IP:你的 IP nsComment = "OpenSSL Generated Certificate" [alt_names] IP.1=你的 IP - 然后用命令生成就行:
openssl req -config openssl.cnf -new -x509 -days 825 -out ca.crt openssl x509 -in ca.crt -text -noout - 关于导入还是挺方便的,网上的普通教程就行。导入.CRT 就行。
在 Debian / Ubuntu / Alpine 系统中信任证书:
cp *.crt /usr/local/share/ca-certificates/ update-ca-certificates - 关于 nginx 配置
ssl_certificate /home/ssl/xxx/ca.crt; ssl_certificate_key /home/ssl/xxx/ca.key; - 关于安全 我在 V2EX 搜索过,关于安全方面,大家说安装证书到设备后只要私钥不泄漏,加密还是能保证的。
首次在此发言,若有安全隐患或者另有妙招还请多多指教。
Select Language