[英]Self signed SSL certificate on private IP is invalid in Chrome
我想为 nodejs 服务器创建一个自签名证书。 我从 macOS 运行它。 我希望能够通过 Chrome 上的“ https://192.9.200.77:8005 ”从同一wifi网络上的另一台设备(Android)通过https访问该服务器呈现的页面。 192.9.200.77 是服务器的 IP。
我设法使用带有 SAN 的 OpenSSL 创建了一个密钥和一个证书。 我在 Android 设备和 macOS 上安装了证书。
在 MacOS 上,该证书适用于 Safari,但不适用于 Chrome 71。
在 Android 上,证书也不起作用。
app.js(节点服务器):
const fs = require('fs');
const https = require('https');
const credentials = {
key: fs.readFileSync('keys/priv_and_pub.pem'),
cert: fs.readFileSync('keys/CA.crt')
};
const express = require('express');
const app = express();
const port = 3000;
app.get('/', (req, res) => res.send('Hello World!'));
const httpsServer = https.createServer(credentials, app);
httpsServer.listen(8005, () => console.log(`Example app listening on port 8005 in https!`));
为了创建证书,我使用了一个配置文件:
配置文件
[ req ]
x509_extensions = x509_ext
distinguished_name = subject
[ subject ]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = California
localityName = Locality Name (eg, city)
localityName_default = SF
organizationName = Organization Name (eg, company)
organizationName_default = my company
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = 192.9.200.77
emailAddress = Email Address
emailAddress_default = myadress@domaine.com
[ x509_ext ]
basicConstraints = CA:TRUE
subjectAltName = @alternate_names
[ alternate_names ]
DNS.1 = 192.9.200.77
和 Openssl 使用这些命令:
openssl genrsa -out priv_and_pub.key 2048
openssl req -config ssl.conf -new -x509 -sha256 -key priv_and_pub.key -subj "/C=US/ST=California/L=BSF/O=myCompany/OU=Prod/CN=192.9.200.77" -out CA.crt
然后我按照此处的建议将证书转换为 Android 设备的 DER 格式:
openssl x509 -inform PEM -outform DER -in CA.crt -out CA.der.crt
并将 priv_and_pub.key 转换为节点服务器的 .pem :
cp priv_and_pub.key priv_and_pub.pem
app.js
工作正常。 我在 macOS 中安装了.cert
,在 Safari 上一切正常(绿色锁和所有),但在 Chrome 上不起作用: (net::ERR_CERT_COMMON_NAME_INVALID).
在浏览器控制台的“安全”选项卡中,我看到连接(连接 - 安全(强 TLS 1.2))和资源(资源 - 全部安全提供)的绿色标志,但证书(证书 - 丢失)的红色标志和此错误: '无法在服务器上验证这是域 192.9.200.77,因为其安全证书来自域 192.9.200.77。 这可能是由于您的黑客配置错误或连接造成的。 (谷歌法语翻译)
任何帮助表示赞赏,花了一天的时间解决这个问题! 谢谢!
为了清理并减少这个解决方案的核心元素,需要以下内容来创建一个 Chrome 信任的 IP 证书。
ssl.conf 文件...
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
commonName = 192.168.1.10
[ req_ext ]
subjectAltName = IP:192.168.1.10
其中,当然 192.168.1.10 是我们希望 Chrome 信任的本地网络 IP。
因此,不需要 CA:True 基本约束。
创建证书:
openssl genrsa -out key1.pem
openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
rm csr1.pem
在 Windows 上,将证书导入到所有客户端计算机上的受信任根证书存储中。 在 Android 手机或平板电脑上下载证书进行安装。 现在 Chrome 将信任 Windows 和 Android 上的证书。
在 Windows 开发箱上,获取 openssl.exe 的最佳位置是“c:\\Program Files\\Git\\usr\\bin\\openssl.exe”
我通过更改ssl.conf
文件中的subjectAltName
,在IP地址前面添加IP:
解决了我的问题:
ssl.conf
文件:
[ x509_ext ]
basicConstraints = CA:TRUE
subjectAltName = IP:192.9.200.77
并且我还删除了[ alternate_names ]
部分。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.