如何自签名带 SAN 字段的 SSL/TLS 证书
前言在本站之前一篇文章 如何成为 CA,并签发自己的证书 中,我们介绍了如何做一个“正规”的自签名证书。但是,这个方法对于现代的浏览器不太管用了,因为 Chrome、Firefox 等浏览器已经不再判定证书的 CN (Common Name) 字段与域名是否一致了,而是改用判定 SAN (Subject Alternative Name) 字段。具体为什么这么做以及 SAN 的含义,网上有很多解释,很重要但是这里不谈,只谈如何在自签名证书中正确配置 SAN 字段。网上的教程有很多,但很多没有说清楚,或者缺少一些关键步骤和参数,导致实际情况下出各种问题,这里我尽量整理了一个完善的版本。准备步骤首先,CA 的证书与文首提到的文章一致,如果之前配置过,那就不需要再生成了。然后,生成待签发证书的私钥,这一步也与上..
更多如何成为 CA,并签发自己的证书
要读懂此文章,你需要了解对称加密、非对称加密的基本概念,并了解证书签发的基本流程。工具准备一台 Linux 主机openssl创建 CA 的私钥很容易理解,CA 也有自己的公钥和私钥。openssl genrsa -des3 -out CAPrivate.key 4096这个命令会生成一个私钥 CAPrivate.key,并且必须要填写私钥的密码。不要奇怪这里只有一个私钥,其实公钥也保存在这个文件里了。创建根证书openssl req -x509 -new -nodes -key CAPrivate.key -sha256 -days 3650 -out CAPrivate.pem根证书,顾名思义,肯定是自签发的。这个证书待会需要安装到你的终端设备里面,不然靠这个根证书签发的其他证书不会被信任。这个命令里..
更多