自簽名的SSL證書制作極其簡單,幾句openssl命令即可生成壹個密鑰和證書。但是:
自簽名證書在網絡上是不可信的,但如果只是自己家裏、局域網內測試,是沒有問題的。因為現在很多應用全都強制要求是f 配置文件來自動完成所需要輸入的個人信息等內容。
比如可以建立壹個 ~/.ssl/CSR-Config.cnf ,內容格式如下:
生成CSR請求文件時候,就可以用 -config 參數引用這個配置文件而不用進入交互環節了,命令如下:
另外,由於上面是指定的域名為 www.dev.lan ,隨便寫的。為了讓本地能正常訪問局域網內的服務器,需要在本地的 /etc/hosts 中將 www.dev.lan 指定為壹個ip地址,如 192.168.1.101
無論如何,自簽名證書都是不會被自動信任的。
所以服務器的證書,必須在每臺客戶端設備上手動導入或信任才行。
Chrome信任自簽名證書:
打開: chrome://flags/#allow-insecure-localhost ,然後enable本地不安全證書。
Mac本機信任自簽名證書:
從Chrome的紅色警告圖標上,直接拖拽到桌面,就把證書保存到桌面了。
然後雙擊,啟動證書管理器,打開證書,點擊上面有壹個 Trust ,選擇 Always trust 即可。
iOS信任自簽名證書:
在Safari的地址欄,點擊
因為自簽名證書無論如何都不被信任,很麻煩。所以幹脆用免費申請到的公網證書來局域網用,然後就能被Chrome完全認可。
方法就是,把第三方證書配置到nginx等服務器上。然後修改本地的 /etc/hosts 文件,將局域網內的ip映射為第三方證書所對應的網站,如 192.168.1.101 music.spotify.com 。這樣的話,就完全沒有報警提示了。
但是,也需要每臺客戶端都修改hosts才行。(iOS不能改)
所有客戶端都改還是比較麻煩的,如果可以配置路由器的話,直接修改路由器的hosts,或者路由器上的轉發,就能達到所有局域網內客戶端都能訪問了。
但是缺點是,局域網上配置的映射後,就不能訪問那個真實網址 music.spotify.com 聽歌了。