@arhangelsoft
Разработчик ПО delphi, node.js, nw.js и т.д.

Как правильно создать самоподписной сертификат для разработчика?

Доброго дня,

есть сайт, развернут в локальной сети для меня и того парня, надо пустить сайт работать по HTTPS, как правильно это сделать с помощью самоподписного сертификата?

OS: Windows Server 2003
Сайт работает на Apache 2.4

Сертификат я создал так:
openssl req -config openssl.cnf -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 3650 -nodes -subj "CN=localhost"

и подключил к апачу.

Проблемы:
1. Google Chrome. При открытии ссылки https://localhost:100500/ он ругается, что соединение не безопасно. Как это решить? Пробовал в хроме смотреть проблемный сертификат, выгружать его через Copy to File..., а затем импортировать себе в Personal хранилище - не помогло. Может что не так делаю? И та же байда с FireFox.
2. Раздавать https на весь локалхост - нет желания, он нужен конкретному порту. Могу ли я выпустить с-п сертификат для хост:порт?
3. Хотелось бы, чтобы мой https работал и для коллег по лок. сети, т.е. у меня работает https по 127.0.0.1, и у них, по 192.168.344.784, как решить?
4. В параметре CN сертификата что нужно писать, что бы достоверно работало как 127.0.0.1 так и localhost? Или надо делать два сертификата?
  • Вопрос задан
  • 1360 просмотров
Решения вопроса 2
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
1. Правильно ругается. Вы сами себе издали сертификат - и он не безопасен. Безопасным считается только тот сертификат, который выпущен УЦ, чей сертификат находится в перечне доверенных корневых сертификатов браузера. У хрома-ЯБ-оперы-ишака системное хранилище, FF использует свое. Самоподписанный сертификат никогда не будет доверенным, его всегда нужно добавлять в исключения. Если сертификатов будет хотя бы два - имеет смысл развернуть свой УЦ и его сертификат добавлять в доверенные - тогда все сертификаты, выпущенные им автоматически станут доверенными.
2. Сертификат выпускается на имя. Не на IP, не на хост - на имя. Резолвящееся имя хоста должно соответствовать CN - иначе ошибка "Имя не совпадает"
3. Listen *:443 вместо Listen 127.0.0.1:443. А также коллегам сертификат Вашего УЦ в доверенные
4. Сертификат выпускается на имя. IP, в который это имя резолвится, ему параллельно.
Ответ написан
@Wexter
1. Вам нужно добавить издателя и центр сертификации в список доверенных в системе.
2. Для отдельного порта нельзя
3. Два сертификата для двух хостов + п.1 на машинах колег
4. Опять же два сертификата
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы