175 подписчиков

Зеленый SSL сертификат для локального сервера

8 октября 20248 окт 2024

110

1 мин

Сегодня рассмотрим один из способов получения SSL сертификата для локального сервера. Используем терминал Ubuntu. Сгенерировать RootCA.pem, RootCA.key & RootCA.crt: openssl req -x509 -nodes -new -sha256 -days 1024 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=RU/CN=Example-Root-CA" Подписание сертификата openssl x509 -outform pem -in RootCA.pem -out RootCA.crt Допустим, у вас есть два домена fake1.local и fake2.local, которые размещены на вашем локальном компьютере для разработки (с помощью файла hosts они перенаправляются на 127.0.0.1 или другой локальный IP). Сначала создайте файл domains.ext, в котором перечислены все ваши локальные домены: authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = localhost DNS.2 = fake1.local DNS.3 = fake2.local Сгенерировать localhost.key, localhost.csr и localhost.crt: openssl req -new -nodes -newkey

Оглавление

1. Генерация ключа центра сертификации СА
2. Генерация сертификата хостов localhost
3. Установка сертификата удостоверяющего центра

Сегодня рассмотрим один из способов получения SSL сертификата для локального сервера. Используем терминал Ubuntu.

1. Генерация ключа центра сертификации СА

Сгенерировать RootCA.pem, RootCA.key & RootCA.crt:

openssl req -x509 -nodes -new -sha256 -days 1024 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=RU/CN=Example-Root-CA"

Подписание сертификата

openssl x509 -outform pem -in RootCA.pem -out RootCA.crt

2. Генерация сертификата хостов localhost

Допустим, у вас есть два домена fake1.local и fake2.local, которые размещены на вашем локальном компьютере для разработки (с помощью файла hosts они перенаправляются на 127.0.0.1 или другой локальный IP).

Сначала создайте файл domains.ext, в котором перечислены все ваши локальные домены:

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

subjectAltName = @alt_names

[alt_names]

DNS.1 = localhost

DNS.2 = fake1.local

DNS.3 = fake2.local

Сгенерировать localhost.key, localhost.csr и localhost.crt:

openssl req -new -nodes -newkey rsa:2048 -keyout localhost.key -out localhost.csr -subj "/C=RU/ST=RUS/L=Siti/O=Example-Certificates/CN=localhost.loc"

Подписываем сертификат

openssl x509 -req -sha256 -days 1024 -in localhost.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -extfile domains.ext -out localhost.crt

Обратите внимание, что страну / штат / город / название в первой команде можно изменить.

Теперь вы можете настроить свой веб-сервер, например, с помощью Apache.

3. Установка сертификата удостоверяющего центра

Windows 10: Chrome, IE11 и Edge

Windows 10 распознаёт файлы .crt , поэтому вы можете нажать правой кнопкой мыши на RootCA.crt > Install , чтобы открыть диалоговое окно импорта.

Обязательно выберите «Доверенные корневые центры сертификации» и подтвердите.

Теперь вы должны получить зеленую блокировку в Chrome, IE11 и Edge.

Windows 10: Firefox

Есть два способа получить доверенный центр сертификации в Firefox.

Самый простой - заставить Firefox использовать доверенные корневые центры сертификации Windows, перейдя в about:config и установив security.enterprise_roots.enabled значение true.

Другой способ - импортировать сертификат, перейдя по ссылке about:preferences#privacy > Certificats > Import > RootCA.pem Confirm for websites.

Всем удачи!