我偶尔会遇到这个主题,试图记住如何完成操作,然后再次找到所有不完整的答案(使用配置文件,在一行命令中忽略我们真正想要使用自定义CA创建完整证书链等),许多答案适用于为证书请求应用SAN,但在签署命令中搞砸了SAN...
我想做什么?
(是的,请不要在一个命令中完成所有操作,我想让我的CA驻留在另一台机器上) (是的,对于其他人来说可能还不够完整。但这正是我每年需要1-2次的情况,当我在 DEV 环境中只信任通过配置简单自签名证书不够时) (是的,如果您不是请求和签署证书的人,则可能希望实施其他验证步骤)
假设我们要在我们的局域网内的新服务器/主机上设置自签名证书,在这种情况下,Let's Encrypt不是我们的选择,例如FRITZ!Box,域名:fritz.box,https://fritz.box,IPv4:192.168.1.1
openssl genrsa -aes256 -out patrickca.key 4096
关于-aes128或-aes256:https://security.stackexchange.com/q/14068
openssl req -new -key patrickca.key -x509 -out patrickca.crt -days 3650
openssl req -new -nodes -newkey rsa:4096 -keyout fritzbox.key -out fritzbox.req -batch -subj "/C=DE/ST=Hamburg/L=Hamburg/O=Patrick CA/OU=router/CN=fritz.box" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:fritz.box,IP:192.168.1.1"))
openssl x509 -req -in fritzbox.req -CA patrickca.crt -CAkey patrickca.key -CAcreateserial -out fritzbox.crt -days 3650 -sha256 -extfile <(printf "subjectAltName=DNS:fritz.box,IP:192.168.1.1")
cat fritzbox.key > fritzboxchain.pem
cat fritzbox.crt >> fritzboxchain.pem
cat patrickca.crt >> fritzboxchain.pem
如果这只是一个示例,您将把此文件导入到您的FRITZ!Box中。
当您的浏览器显示有关https证书的警告消息时,您当然希望确认自己知道自己在做什么。
您可能希望将其设置为永久异常情况。
但请注意:请将第1.2步骤的CA证书导入为受信任的CA(在05/2020年,对于Firefox,设置CN=应该足够了;对于Chrome,如果它仍然无法接受您的自签名证书,则可能会出现SAN问题)。