8

我想为 nodejs 服务器创建一个自签名证书。我从 macOS 运行它。我希望能够通过Chrome 上的“ https://192.9.200.77:8005 ”从同一 wifi 网络上的另一台设备(Android)访问该服务器通过 https 呈现的页面。192.9.200.77 是服务器的 IP。

我设法使用带有 SAN 的 OpenSSL 创建了一个密钥和一个证书。我在 Android 设备和 macOS 上安装了证书。

在 MacOS 上,证书适用于 Safari,但不适用于 Chrome 71。

在 Android 上,证书也不起作用。

app.js(节点服务器):

const fs = require('fs');
const https = require('https');

const credentials = {
  key: fs.readFileSync('keys/priv_and_pub.pem'),
  cert: fs.readFileSync('keys/CA.crt')
};
const express = require('express');
const app = express();
const port = 3000;

app.get('/', (req, res) => res.send('Hello World!'));

const httpsServer = https.createServer(credentials, app);

httpsServer.listen(8005, () => console.log(`Example app listening on port 8005 in https!`));

要创建证书,我使用配置文件:

ssl.conf

[ req ]
x509_extensions     = x509_ext
distinguished_name  = subject


[ subject ]
countryName         = Country Name (2 letter code)
countryName_default     = US

stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = California

localityName            = Locality Name (eg, city)
localityName_default    = SF

organizationName         = Organization Name (eg, company)
organizationName_default    = my company

commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = 192.9.200.77

emailAddress            = Email Address
emailAddress_default        = myadress@domaine.com

[ x509_ext ]
basicConstraints        = CA:TRUE
subjectAltName          = @alternate_names

[ alternate_names ]

DNS.1       = 192.9.200.77

和 Openssl 使用这些命令:

openssl genrsa -out priv_and_pub.key 2048

openssl req -config ssl.conf -new -x509 -sha256 -key priv_and_pub.key -subj "/C=US/ST=California/L=BSF/O=myCompany/OU=Prod/CN=192.9.200.77"  -out CA.crt

然后我按照这里的建议将证书转换为 Android 设备的 DER 格式:

openssl x509 -inform PEM -outform DER -in CA.crt -out CA.der.crt

并将 priv_and_pub.key 转换为节点服务器的 .pem :

cp priv_and_pub.key priv_and_pub.pem

app.js工作正常。我.cert在 macOS 中安装了,在 Safari 上一切正常(绿色锁和所有),但在 Chrome 上不起作用:(net::ERR_CERT_COMMON_NAME_INVALID).在浏览器控制台的“安全”选项卡中,我得到连接的绿色标志(连接 - 安全(强 TLS 1.2) )和资源(资源 - 全部安全提供),但证书(证书 - 缺失)的红旗和此错误:'无法在服务器上验证这是域 192.9.200.77,因为它的安全证书来自域 192.9 .200.77。这可能是由于您的黑客配置错误或连接造成的。(谷歌法语翻译)

任何帮助表示赞赏,花了一天的时间来解决这个问题!谢谢!

4

2 回答 2

7

要清理此解决方案并将其简化为核心元素,需要执行以下操作来创建一个受 Chrome 信任的 IP 证书。

ssl.conf 文件...

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no

[ req_distinguished_name ]
commonName                  = 192.168.1.10

[ req_ext ]
subjectAltName = IP:192.168.1.10

当然,192.168.1.10 是我们希望 Chrome 信任的本地网络 IP。

因此,不需要 CA:True 基本约束。

创建证书:

 openssl genrsa -out key1.pem
 openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
 openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
 rm csr1.pem

在 Windows 上,将证书导入所有客户端计算机上的受信任根证书存储区。在 Android 手机或平板电脑上下载证书进行安装。现在 Chrome 将信任 Windows 和 Android 上的证书。

在 Windows 开发框中,获取 openssl.exe 的最佳位置是从“c:\Program Files\Git\usr\bin\openssl.exe”

于 2019-10-02T22:27:33.400 回答
5

subjectAltName我通过在ssl.conf文件中添加IP:IP 地址来解决我的问题:

ssl.conf文件 :

[ x509_ext ]
basicConstraints        = CA:TRUE
subjectAltName          = IP:192.9.200.77

我还删除了该[ alternate_names ]部分。

于 2019-02-18T12:35:25.687 回答