Edit

建立自簽發 HTTPS 證書

自行簽發 HTTPS 憑證

以下會包含建立自己的 Root Certificate Authority 並且簽發證書後給瀏覽器使用。

每個 OS 在作業系統安裝時會自帶一系列的 root 憑證:

https://support.apple.com/en-us/HT202858

原理

憑證中心 ( certificate authority ),也稱為 CA,來幫公鑰做認證。憑證中心用自己的私鑰,對 A 的公鑰和一些相關資訊一起加密,生成數位憑證(Digital Certificate),之後 A 在傳遞訊息時需要同時附上此數位憑證

B 收到 A 傳來的訊息後訊息後用 CA 的公鑰解開數位憑證,就可以拿到 A 真正的公鑰。就不怕再被壞人替換公鑰了。

當 B 想私密傳送訊息給 A 時,可以用 A 的公鑰將訊息加密,A 收到加密訊息後用自己的私鑰再將訊息解密。以上也是目前瀏覽器之HTTPS 運作之簡單原理。

實作

1.建立 Root Certificate Authority,產生私鑰

openssl genrsa -des3 -out myCA.key 2048

2.產生證書

openssl req -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

3.將證書放入 keychain ,並設定為信任

3.5

產生另一組 private key 與 csr

4.新增 Subject Alternative Name (SAN) extension

localhost.ext

5.產生簽發過的 certificate

6. 寫一個 localhost server 來測試

即可看到瀏覽器不會再跳出不安全的警告。

完整的 script

注意事項

因為 macOS 的憑證限制為 825 天,所以簽發證書時要注意

LogoRequirements for trusted certificates in iOS 13 and macOS 10.15 - Apple SupportApple Support

參考資料:

LogoGetting Chrome to accept a self-signed localhost certificateStack Overflow

Chain of Trust

Logo那些關於SSL/TLS的二三事(十二) — Chain of TrustMedium

建立自己的 Cert Chain

自己簽發 Root CA 與之後的 intermediate ca,並且驗證

https://blog.davy.tw/posts/use-openssl-to-sign-intermediate-ca/

申請加入 root CA

Chrome 是會去找電腦OS內的預設

https://sites.google.com/a/chromium.org/dev/Home/chromium-security/root-ca-policy?overridemobile=truesites.google.com

Mozilla 是自己有一套trust root CA列表

LogoMozilla Root Store PolicyMozilla

Websocket ERR_CERT_AUTHORITY_INVALID

先用瀏覽器開啟 https 的 URL 然後點選不安全下面的繼續前往,之後該 wss URL 就可以正常使用。

瀏覽器安全憑證設定

開發的時候如果我們用自行簽發的憑證有時會被瀏覽器擋住,包含 wss 會出現無法連線。

例如:ERR_CERT_AUTHORITY_INVALID 之錯誤,可以依照以下步驟解決。

1.瀏覽器設定點選右下角管理憑證。

2.跳出鑰匙圈之後點選憑證,然後把自行簽發的憑證拉到裡面

3. 把信任選項改成永遠信任

4.之後再到瀏覽器上點選繼續前往即可。

PreviousHTTPS 封包解密Next幫網站加上HTTPS

Last updated

Was this helpful?