我想创建一个 CA 供我们办公室内部使用。我创建了 CA,如下所示:
openssl genrsa -out rootCA.key 2048
openssl genrsa -out rootCA.key 2048 -des3
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
接下来,我在 OS X 客户端上导入了 CA 证书并将其标记为值得信赖,然后在 Firefox 中安装了 CA 证书。
openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
在填写 CA 信息时我设置了以下内容:通用名称(例如,您的姓名)[]:192.168.6.78
openssl x509 -req -in device.csr -CA root.pem -CAkey root.key -CAcreateserial -out device.crt -days 500
完成后,我将证书和密钥文件复制到 Web 服务器上,将其安装在 nginx 中,并尝试使用 Chrome、Firefox 和 Safari 访问该网站
结果是它在 Chrome 和 Firefox 中运行良好,但在 Safari 中却不行。尽管 Safari 显示 CA 是受信任的,但它会显示 Web 服务器证书本身的错误。错误消息是“Safari 无法验证 192.168.6.78 的身份”,并建议我添加一个例外“连接到 192.168.6.78 时始终信任 192.168.6.78”。
有人遇到过这种情况吗?可能知道如何修复吗?也许 Safari 不支持 IP 地址的 SSL 证书?
谢谢