我可以用 Java 创建自签名证书，该证书将自动受到 Web 浏览器的信任吗？

Question

我已经使用 keytool 为我的 Java 应用程序生成了自签名证书。但是，当我在浏览器中访问该网站时，它总是会弹出一个警告 - 说该网站不拥有该证书 - 有没有办法自签名/修改证书，这样我就不会在浏览器？服务器和浏览器都位于同一主机上，我使用“http://localhost/”导航到该站点。我不想向浏览器添加异常，因为我有在大型构建场上运行的测试，因此向所有构建计算机上的所有浏览器添加异常是多余的。

Answer 1

不，你不能。您不妨问“如何为 hsbc.com 制作假证书？”

有两种方法可以让浏览器接受证书：

• 从受信任的机构购买某个域的证书（这意味着向该机构证明您拥有该域），然后使用该域作为测试服务器的名称
• 安装您的将证书签名到浏览器中，以便您有效地成为该浏览器的可信权威。

在不接触浏览器的情况下，没有其他方法可以做到这一点 - 如果要保持互联网安全，怎么可能有呢？

Answer 2

您还可以使用 OpenSSL 或 Java 工具设置自签名证书颁发机构 (CA)。然后，您可以使用该 CA 签署多个服务器证书。

您仍然需要在访问测试服务器的所有客户端上手动信任自签名 CA，但至少您只需信任一个根 CA，而不是一堆单独的自签名服务器证书。

另一种选择是查看 CAcert。

Answer 3

您为 localhost 创建的证书还是为 test.textbox.com 创建的证书？如果您为 FQDN test.textbox.com 创建证书，那么只要证书经过正确签名，您就需要通过这种方式访问​​服务器才不会出现这些错误。您无法为 FQDN 生成证书，然后使用 IP 或别名 (localhost) 访问它，而不会收到有关事情不正确匹配的警告。还是我误解了你的问题？

Answer 4

为“localhost”制作证书。它需要与 URL 中的主机名匹配。

您仍然会因为证书不受信任而感到困扰，但这是另一个问题。