我使用自签名 HTTPS 证书通过 Nginx 运行本地网站。然而,在GNOME 网络(以前称为 Epiphany)我仍然收到安全警告,因为没有自签名证书的证书颁发机构。
让 Web(和 Firefox)识别这些本地证书的本地 CA 的最简单的方法是什么?
答案1
我通常会选择easy-rsa每当我需要自己的本地 CA 时。
sudo apt-get install easy-rsa
make-cadir myca
cd myca
$editor vars
./pkitool --help
对于系统/cli 工具(例如 curl、git 等),请信任您新生成的证书复制到在 /usr/local/share/ca-证书/并运行sudo update-ca-certificates。另请参阅/usr/share/doc/ca-certificates/README.Debian。
Firefox 维护着自己的 ca-store,位于每个用户的 Firefox 配置文件本地。您可以在 Firefox 的高级设置下手动导入您的 ca.crt。
答案2
生成证书
OpenSSL(预安装)附带用于创建本地 CA 的 perl 脚本:/usr/lib/ssl/misc/CA.pl
文档:https://www.openssl.org/docs/man1.1.0/apps/CA.pl.html
因此,您只需使用./CA.pl -newca命令即可创建一个简单的 CA。您可能需要编辑脚本,以使设置适合您的需求。
然后你可以轻松地创建请求(./CA.pl -newreq)并唱出它们(CA.pl -sign)
安装 CA 证书
如果您有图形界面,只需在文件管理器中打开并安装证书即可。不过,Firefox 不使用系统信任存储,必须手动添加。要为 FireFox 安装它,请转到about:preferences#advanced选择certificates> 查看证书 > 权限 > 导入