美文网首页
自签名https证书,本地浏览器测试

自签名https证书,本地浏览器测试

作者: xiaofengl | 来源:发表于2016-12-15 18:26 被阅读0次

    下面的证书是通过mac终端命令行生成的。参考文件:http://www.jianshu.com/p/f312a84a944c

    第一步,为服务器端和客户端准备公钥、私钥

    // 生成服务器端私钥
    命令:openssl genrsa -out server.key 1024
    // 生成服务器端公钥
    命令:openssl rsa -in server.key -pubout -out server.pem

    第二步,生成 CA 证书

    // 生成 CA 私钥
    命令:openssl genrsa -out ca.key 1024
    命令:openssl req -new -key ca.key -out ca.csr
    命令:openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

    在第二步第二条时会出来一个填写资料的界面(我已经填好大家可以参考,有些地方可以空着)
    Country Name (2 letter code) [AU]:CN
    State or Province Name (full name) [Some-State]:Guangdong
    Locality Name (eg, city) []:FoShan
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:TestCA
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:localhost
    Email Address []:
    这里有点要注意, Common Name (e.g. server FQDN or YOUR name) []: 这一项,是最后可以访问的域名,我这里为了方便测试,写成 localhost ,如果是为了给网站生成证书,需要写成 xxxx.com 。

    第三步,生成服务器端证书

    // 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件
    命令:openssl req -new -key server.key -out server.csr
    // 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书
    命令:openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
    同样会有信息填写,照旧写就好了

    第四步,生成cer文件

    //使用openssl 进行转换
    命令:openssl x509 -in server.crt -out server.cer -outform der
    如果完成,就会得到这么9个文件

    成功证书.png

    当证书生成后,现在需要对apache做一下相关的配置了。我用的mac测试。用的是mac自带的apache。参考文件:http://www.jianshu.com/p/d006a34a343f
    . Apache
    1.Apache的启动、停止。
    打开终端,输入httpd -v可以看到apache的版本信息。
    命令 :httpd -v
    输出: Server version: Apache/2.4.16 (Unix)
    Server built: Aug 22 2015 16:51:57
    2.启动 Apache
    在终端输入 sudo apachectl start 即可启动 Apache。(终端不会有成功提示)
    在浏览器输入:localhost

    成功的验证.png

    说明Apache启动成功了。

    3.停止、重启Apache
    停止 Apache:sudo apachectl stop
    重启 Apache:sudo apachectl restart

    到此,Apache的使用已经足够。
    下面是配置Apache,开启SSL
    1.编辑/etc/apache2/httpd.conf文件。可以通过终端命令:/etc/apache2打开文件夹。然后编辑httpd.conf。这里要注意一下:这些文件(包括下面)是不允许编辑的,系统会提示你复制一份副本,你可以在副本编辑,然后替换掉原来那份即可。(最好把原来那份也备份一下)
    编辑httpd.conf,把下面三行前面的#号去掉
    这里(/etc/apache2/httpd.conf和/private/etc/apache2/httpd.conf其实是同一个内容)
    LoadModule ssl_module libexec/apache2/mod_ssl.so

    Include /etc/apache2/extra/httpd-ssl.conf

    Include /etc/apache2/extra/httpd-vhosts.conf

    2.编辑/etc/apache2/extra/httpd-ssl.conf文件,去掉下面两行前面的#号
    SSLCertificateFile "/etc/apache2/server.crt" // 这里的路径不一定相同,server.crt就是前面生成的签名证书

    SSLCertificateKeyFile "/etc/apache2/server.key" // 这里的路径不一定相同,server.key就是前面生成的签名证书

    3.编辑/etc/apache2/extra/httpd-vhosts.conf文件,在VirtualHost*:80后面添加一段如下内容:
    <VirtualHost *:443>
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /etc/apache2/server.crt
    SSLCertificateKeyFile /etc/apache2/server.key
    ServerName 192.168.2.1
    DocumentRoot "/Library/WebServer/Documents"
    </VirtualHost>

    ps:Apache的安装目录也有可能不一样。

    配置SSL
    1.编辑 /etc/apache2/extra/httpd-ssl.conf 文件
    httpd-ssl.conf 中已经有一条 <VirtualHost> 记录,我们将其注释掉,新建一条:

    <VirtualHost *:443>

    General setup for the virtual host

    DocumentRoot "/Library/WebServer/Documents"
    ServerName local.server.com

    SSL Engine Switch:

    SSLEngine on

    Server Certificate:

    SSLCertificateFile "/etc/apache2/server.crt"

    Server Private Key:

    SSLCertificateKeyFile "/etc/apache2/server.key"

    SSL Engine Options:

    <FilesMatch ".(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory "/Library/WebServer/CGI-Executables">
    SSLOptions +StdEnvVars
    </Directory>
    </VirtualHost>

    2.为了能够使用 URL 访问服务器,我们需要配置HOST,终端执行open /etc/hosts,添加
    127.0.0.1 server // 这里的 server就是你自签名的服务器的证书

    然后

    检查配置文件并重启 Apache,命令行输入sudo apachectl -t,如果提示:
    AH00526: Syntax error on line 92 of /private/etc/apache2/extra/httpd-ssl.conf: SSLSessionCache: 'shmcb' session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?).

    可以根据提示:编辑 /etc/apache2/httpd.conf 文件,删除下列这些代码前的注释符号 #
    LoadModule socache_shmcb_module libexec/apache2/mod_socache_shmcb.so

    再次测试,显示 Syntax OK,说明测试通过,如果有warning警告也无伤大雅。重启 Apache:sudo apachectl restart
    现在,可以通过https 访问了。https://localhost. 也可以通过:https://127.0.0.1访问

    验证成功.png

    相关文章

      网友评论

          本文标题:自签名https证书,本地浏览器测试

          本文链接:https://www.haomeiwen.com/subject/vhkgmttx.html