Question

自签名证书的生成

对于一般的小型网站尤其是博客，可以使用自签名证书来构建安全网络，所谓自签名证书，就是自己扮演 CA 机构，自己给自己的服务器颁发证书。

第一步，为服务器端和客户端准备公钥、私钥

# 生成服务器端私钥
openssl genrsa -out server.key 1024
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem

# 生成客户端私钥
openssl genrsa -out client.key 1024
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

第二步，生成 CA 证书

# 生成 CA 私钥
openssl genrsa -out ca.key 1024
# X.509 Certificate Signing Request (CSR) Management.
openssl req -new -key ca.key -out ca.csr
# X.509 Certificate Data Management.
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

说明：第二步要手工填写一些数据，如 Common Name (e.g. server FQDN or YOUR name)

第三步，生成服务器端证书和客户端证书

# 服务器端需要向 CA 机构申请签名证书，在申请签名证书之前依然是创建自己的 CSR 文件
$ openssl req -new -key server.key -out server.csr
# 向自己的 CA 机构申请证书，签名过程需要 CA 的证书和私钥参与，最终颁发一个带有 CA 签名的证书
$ openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

# client 端
$openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
$openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

最后生成的文件如下：

.
├── https-client.js
├── https-server.js
└── keys
├── ca.crt
├── ca.csr
├── ca.key
├── ca.pem
├── ca.srl
├── client.crt
├── client.csr
├── client.key
├── client.pem
├── server.crt
├── server.csr
├── server.key
└── server.pem

Chrome 配置信任自签名证书

备注：修改后都需要重启浏览器才生效。证书后缀名为 crt 或 cer。

1.本地证书

chrome://flags/#allow-insecure-localhost

将此值改为 Enabled，即可允许访问 localhost/127.0.0.1 之类的本地主机自签名。

2.非本地证书

1）从浏览器客户端 导出证书，步骤为：‘查看证书’--> 导出

导入证书到 chrome，步骤如下：

2）证书管理 --> 选择保存位置为‘受信任的根证书颁发机构’