如何正确创建 CA 证书并签署 SSL/TLS 证书以供 Apache 在本地主机中使用？

Question

这对我有用：

生成CA证书。

openssl req -x509 -new -nodes -newkey rsa:2048 -keyout myCA.key \
  -sha256 -days 1825 -out myCA.crt -subj /CN='localhost ca'

生成服务器证书请求。请注意，除了设置之外，CN=localhost我们还设置了subjectAlternativeName ，localhost因为：

2000 年 5 月发布的 RFC 2818 弃用 HTTPS 证书中的通用名称 (CN) 字段进行主题名称验证。相反，它建议使用“DNS 名称”类型的“主题备用名称”扩展 (SAN)。參考

（请注意，用于识别主机的 commonName 已被弃用24 年前。

openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr \
  -subj /CN=localhost -addext subjectAltName=DNS:localhost

签署证书请求以创建证书。请注意使用，-copy_extensions copy以便我们将subjectAlternativeName请求中的复制到证书中。

openssl x509 -req -in localhost.csr -copy_extensions copy \
  -CA myCA.crt -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

将 CA 证书添加到信任库。

sudo cp myCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

我正在通过使用以下方式设置一个简单的启用 TLS 的服务器来测试证书球童.我从这个开始Caddyfile：

{
    http_port 8080
}
:8443 {
    respond "this is a test"
    tls localhost.crt localhost.key
}

进而：

caddy run

现在我们可以看到curl信任该证书：

$ curl https://localhost:8443
this is a test

如果我从信任库中删除 CA 证书：

sudo rm  /etc/pki/ca-trust/source/anchors/myCA.crt
sudo update-ca-trust

然后我们会看到curl失败：

$ curl https://localhost:8443
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Answer 1

这对我有用：

生成CA证书。

openssl req -x509 -new -nodes -newkey rsa:2048 -keyout myCA.key \
  -sha256 -days 1825 -out myCA.crt -subj /CN='localhost ca'

生成服务器证书请求。请注意，除了设置之外，CN=localhost我们还设置了subjectAlternativeName ，localhost因为：

2000 年 5 月发布的 RFC 2818 弃用 HTTPS 证书中的通用名称 (CN) 字段进行主题名称验证。相反，它建议使用“DNS 名称”类型的“主题备用名称”扩展 (SAN)。參考

（请注意，用于识别主机的 commonName 已被弃用24 年前。

openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr \
  -subj /CN=localhost -addext subjectAltName=DNS:localhost

签署证书请求以创建证书。请注意使用，-copy_extensions copy以便我们将subjectAlternativeName请求中的复制到证书中。

openssl x509 -req -in localhost.csr -copy_extensions copy \
  -CA myCA.crt -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

将 CA 证书添加到信任库。

sudo cp myCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

我正在通过使用以下方式设置一个简单的启用 TLS 的服务器来测试证书球童.我从这个开始Caddyfile：

{
    http_port 8080
}
:8443 {
    respond "this is a test"
    tls localhost.crt localhost.key
}

进而：

caddy run

现在我们可以看到curl信任该证书：

$ curl https://localhost:8443
this is a test

如果我从信任库中删除 CA 证书：

sudo rm  /etc/pki/ca-trust/source/anchors/myCA.crt
sudo update-ca-trust

然后我们会看到curl失败：

$ curl https://localhost:8443
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

如何正确创建 CA 证书并签署 SSL/TLS 证书以供 Apache 在本地主机中使用？

答案1

相关内容