自定义根证书颁发机构 CA 生成自签名证书

安全 应用安全
本文为使用过程中的一个工具记录,可实现在本地开启一个 HTTPS 服务器用于开发或测试。我们会先创建一个 CA 根证书,再创建一个由 CA 根证书签名的自定义证书。

 [[348373]]

本文为使用过程中的一个工具记录,可实现在本地开启一个 HTTPS 服务器用于开发或测试。我们会先创建一个 CA 根证书,再创建一个由 CA 根证书签名的自定义证书。

本文从以下几个方面讲解:

  • 创建自己的自定义证书颁发机构 CA
  • 使用 CA 根证书签名服务器证书
  • 在 Node.js 服务器中配置证书
  • 添加根证书到本地计算机的受信任根存储中

创建自己的自定义证书颁发机构 CA

  • 生成私钥
  1. $ openssl ecparam -out ca.key -name prime256v1 -genkey 
  • 生成证书请求文件
  1. $ openssl req -new -sha256 -key ca.key -out ca.csr     
  2.  
  3. # 以下为需要输入的交互信息 
  4. Country Name (2 letter code) []:CN 
  5. State or Province Name (full name) []:BeiJing 
  6. Locality Name (eg, city) []:BeiJing 
  7. Organization Name (eg, company) []:Node.js 
  8. Organizational Unit Name (eg, section) []:Node.js 
  9. Common Name (eg, fully qualified host name) []:test.ca.com 
  10. Email Address []: 
  11.  
  12. Please enter the following 'extra' attributes 
  13. to be sent with your certificate request 
  14. A challenge password []:abc123*** 
  • 生成根证书
  1. $ openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt 

使用 CA 根证书签名服务器证书

  • 生成私钥
  1. $ openssl ecparam -out server.key -name prime256v1 -genkey 
  • 生成证书请求文件
  1. $ openssl req -new -sha256 -key server.key -out server.csr 
  2.  
  3. # 注意下面服务器证书的 Common Name 不能与上面颁发者 CA 的 Common Name 一样 
  4. Country Name (2 letter code) []:CN 
  5. State or Province Name (full name) []:ShangHai 
  6. Locality Name (eg, city) []:ShangHai 
  7. Organization Name (eg, company) []:Node.js 
  8. Organizational Unit Name (eg, section) []:Node.js 
  9. Common Name (eg, fully qualified host name) []:test.https.com 
  10. Email Address []: 
  11.  
  12. Please enter the following 'extra' attributes 
  13. to be sent with your certificate request 
  14. A challenge password []:abc123*** 
  • 使用 CA 的根证书为服务器证书签名
  1. $ openssl x509 -req -in server.csr -CA  ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256 
  2.  
  3. # 成功之后有以下提示 
  4. Signature ok 
  5. subject=/C=CN/ST=ShangHai/L=ShangHai/O=Node.js/OU=Node.js/CN=test.https.com 
  6. Getting CA Private Key 

服务端证书中使用到的域名是我们自己定义的,需要在本地 hosts 文件做映射,如果不知道为什么要修改和该如何修改的参考文章 DNS 域名解析过程?github.com/qufei1993/http-protocol/blob/master/docs/dns-process.md

  • 证书文件列表

完成之后可以看到如下文件,server.crt 是服务器的证书文件,ca.crt 就是我们创建的根正书。

在 Node.js 服务器中配置证书

  1. const express = require('express'); 
  2. const https = require('https'); 
  3. const fs = require('fs'); 
  4. const app = express(); 
  5. const PORT = 8443; 
  6. const options = { 
  7.   key: fs.readFileSync('./cert/server.key'), 
  8.   cert: fs.readFileSync('./cert/server.crt'
  9. }; 
  10.  
  11. https.createServer(options, app) 
  12.   .listen(PORT, () => console.log(`App listening on port ${PORT}!`)); 
  13.  
  14. app.get('/', (req, res) => res.send('Hello World!')); 

此时在 Chrome 浏览器中仍无法访问,至少在 Chrome 85.0.4183.121 是这样的,浏览器中打开证书文件也显示的证书是不受信任的。

为了解决这个问题,继续往下看。

添加根证书到本地计算机的受信任根存储中

找到我们刚生成的根证书文件,双击打开。

得到如下提示,是因为系统提示新根证书应添加到当前用户下,这样就不会因为测试去影响其它用户,系统根证书是不建议修改的,这会对当前计算的所有用户生效,另外 Mac 中也是不能修改的。

image.png

按照以下步骤添加根证书,修改证书为信任,最后会需要用到密码进行确认

重新打开链接,是有提示的,我们可以继续前往访问,另外证书的状态也显示为了有效。

Reference

  • support.apple.com/zh-cn/guide/keychain-access/kyca2431/mac
  • configure-the-certificate-in-your-web-servers-tls-settings

本文转载自微信公众号「Nodejs技术栈」,可以通过以下二维码关注。转载本文请联系Nodejs技术栈公众号。

 

责任编辑:武晓燕 来源: Nodejs技术栈
相关推荐

2020-06-12 07:59:54

SSL证书攻击漏洞

2020-04-28 08:20:28

COVID-19证书颁发机构身份验证

2022-11-08 19:30:52

DjangoID自增

2021-01-26 21:00:24

SSL证书网络安全加密

2024-11-28 09:43:54

2016-05-09 11:40:44

2009-08-26 22:14:50

国产证书

2009-10-28 10:20:10

2014-01-24 10:01:24

加密技术邮件服务器TLS加密

2021-06-03 14:57:05

SSL证书SSL协议服务器

2023-05-31 07:32:37

2021-12-16 16:50:47

NginxSSLLinux

2020-06-17 10:52:30

运维故障技术

2010-03-11 16:20:49

VeriSign根证书密钥

2020-03-12 10:41:35

数字签名加密证书劫持

2011-12-26 09:23:01

Java

2009-08-14 11:51:35

EV SSLCA数字证书

2014-04-08 10:54:04

SDN华为敏捷交换机

2009-02-02 21:47:51

2015-11-25 15:00:07

点赞
收藏

51CTO技术栈公众号