Alguém poderia sugerir uma maneira moderna de gerar certificados autoassinados a serem implementados no host local, que seria aceito pelo Chrome e Mozilla?
Eu tentei a geração openssl, no entanto, a Mozilla reclama que o emissor não é confiável.
Centos 7, nginx
openssl
nginx
ssl
certificates
Tarlan Mammadzada
fonte
fonte
Respostas:
Aviso: Antes de mergulhar no campo minado de administrar sua própria Autoridade de Certificação, pode ser necessário estudar as implicações de segurança!
Mas, se necessário, continue lendo para obter uma autoridade de certificação rápida e suja que fornecerá
https://localhost/
uma mensagem de aviso ...Crie o seguinte arquivo de texto:
Salve como
root.cnf
e gere a solicitação com:Isso criará seu certificado de CA raiz (
root.cer
) e sua chave privada de CA raiz (root.key
), que você deve manter privada. Ele solicitará uma senha para a chave privada - verifique se você escolhe uma senha forte.Agora crie um arquivo de configuração para o certificado do servidor:
Salve-o como
server.cnf
e gere a solicitação com:O acima irá gerar outra chave privada (
server.key
) que você deve proteger. Nesse caso, a chave não é protegida por senha, mas você pode adicionar uma senha removendo a-nodes
opção.Por fim, assine a solicitação com sua nova CA raiz e extensões do
server.cnf
arquivo (por conveniência):Nota: escolha qualquer número aleatório para a
-set_serial
opção.Ele solicitará a senha digitada quando você gerou a CA raiz.
Um certificado de servidor (
server.cer
) será gerado.Agora, adicione o certificado da CA raiz (
root.cer
) ao armazenamento de âncora confiável do Firefox e execute um teste com:Nota: Você pode obter erros se já tiver um servidor em execução na porta 443. Nesse caso, pare o servidor em execução ou altere o número da porta acima para outra porta não utilizada.
Ao navegar para
https://localhost
(ouhttps://localhost:<port>
se você alterou o número da porta acima) com o Firefox, agora você não vê nenhum aviso e recebe uma lista de códigos que sua instalação do OpenSSL pode oferecer.Quando estiver satisfeito com os resultados, adicione
server.key
eserver.cer
ao seu servidor da Web e configure-o de acordo.fonte
stinguished_name
deve serdistinguished_name