我想为nodejs服务器创建一个自签名证书。我从macOS运行它。我希望能够通过Chrome上的“ https://192.9.200.77:8005”访问来自同一WiFi网络上另一台设备(Android)通过https从该服务器渲染的页面。 192.9.200.77是服务器的IP。
我设法通过带有SAN的OpenSSL创建了密钥和证书。我在Android设备和macOS上安装了证书。
在MacOS上,该证书在Safari上有效,但在Chrome 71中不可用。
在Android上,证书也不起作用。
app.js(节点服务器):
const fs = require('fs');
const https = require('https');
const credentials = {
key: fs.readFileSync('keys/priv_and_pub.pem'),
cert: fs.readFileSync('keys/CA.crt')
};
const express = require('express');
const app = express();
const port = 3000;
app.get('/', (req, res) => res.send('Hello World!'));
const httpsServer = https.createServer(credentials, app);
httpsServer.listen(8005, () => console.log(`Example app listening on port 8005 in https!`));
要创建证书,我使用一个配置文件:
ssl.conf
[ req ]
x509_extensions = x509_ext
distinguished_name = subject
[ subject ]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = California
localityName = Locality Name (eg, city)
localityName_default = SF
organizationName = Organization Name (eg, company)
organizationName_default = my company
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = 192.9.200.77
emailAddress = Email Address
emailAddress_default = myadress@domaine.com
[ x509_ext ]
basicConstraints = CA:TRUE
subjectAltName = @alternate_names
[ alternate_names ]
DNS.1 = 192.9.200.77
使用以下命令打开Openssl:
openssl genrsa -out priv_and_pub.key 2048
openssl req -config ssl.conf -new -x509 -sha256 -key priv_and_pub.key -subj "/C=US/ST=California/L=BSF/O=myCompany/OU=Prod/CN=192.9.200.77" -out CA.crt
然后我按照推荐的here将证书转换为Android设备的DER格式:
openssl x509 -inform PEM -outform DER -in CA.crt -out CA.der.crt
并将节点服务器的priv_and_pub.key转换为.pem:
cp priv_and_pub.key priv_and_pub.pem
app.js工作正常。我在MacOS上安装了.cert,并且在Safari上一切正常(绿色锁定和全部锁定),但在Chrome上无法正常工作:(net::ERR_CERT_COMMON_NAME_INVALID).在浏览器控制台的“安全性”选项卡中,我获得了绿色标志。连接(连接-安全(严格的TLS 1.2))和资源(资源-所有安全提供),但是证书的红色标记(证书-丢失)和此错误:
'无法在服务器上验证这是域192.9.200.77,因为其安全证书来自域192.9.200.77。这可能是由于配置错误或黑客连接造成的。” (来自法语的Google Traduction)
任何帮助我们都感激不已,全天候解决问题! ks!
答案 0 :(得分:0)
我通过更改subjectAltName文件中的ssl.conf,在IP地址前面添加IP:解决了我的问题:
ssl.conf文件:
[ x509_ext ]
basicConstraints = CA:TRUE
subjectAltName = IP:192.9.200.77
,我还删除了[ alternate_names ]部分。
答案 1 :(得分:0)
要清理此解决方案并将其简化为核心要素,需要执行以下操作来创建将由Chrome信任的IP证书。
ssl.conf文件...
let subjectsUl = document.createElement("ul");
subjectsUl.classList.add("subject");
subjectList.forEach(
(subject) =>
{
if (subject.subject !== "")
{
let liElt = document.createElement("li");
liElt.innerHTML = "<span>" + subject.day + "</span>" + "<span>" + subject.subject + "</span>";
subjectsUl.appendChild(liElt);
}
}
);
其中192.168.1.10当然是我们希望Chrome信任的本地网络IP。
因此,不需要CA:True基本约束。
创建证书:
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
commonName = 192.168.1.10
[ req_ext ]
subjectAltName = IP:192.168.1.10
在Windows上,将证书导入到所有客户端计算机上的“受信任的根证书存储”中。在Android手机或平板电脑上,下载证书以进行安装。现在,Chrome将信任Windows和Android上的证书。
在Windows dev框中,获取openssl.exe的最佳位置是从“ c:\ Program Files \ Git \ usr \ bin \ openssl.exe”