之前在局域网络或内网使用自签证书部署HTTPS的2种方法中介绍了一款工具mkcert,虽然比openssl使用起来更加方便,但也有对应的缺陷和短板,就是没办法自定义Subject Alternative Name,如果没有这个属性的话,在IE中是没有问题的,但是在新版本的谷歌浏览器一般是Chrome 58 版本以上存在问题。
主要是因为新版的谷歌浏览器是采用Subject Alternative Name属性来判断身份,如果没有这个属性的话,浏览器就会提示服务器无法证明它就是XXXX,然后标记成为不安全的网站,并且会报NET::ERR_CERT_COMMON_NAME_INVALID的错误。
在经过多方查找资料后,终于找到了另一个证书生成工具,相对来说更加小巧一些只有300K左右的大小,不过这个软件需要.net4.0的支持,之前这个程序是有官网的,但是目前官网已经打不开了,本文附件中会把这个工具一并提交,下面我们来看下这个软件的界面和使用方法。
界面相对来说比较清晰,第一行可以自定义SN,第二行就可以自定义Subject Alternative Name属性,我们添加完成后可以看下效果。
直接点itisscg软件击右侧的ADD就可以添加,添加的时候有多重方式可以选择,我此处选择的IP地址,因为部署在内网中,所以我的IP地址就设置的是我本机的IP192.168.10.10,如果你需要做内网的域名或外网的与域名,可以在Subject Alternative Name的属性中进行选择即可。StoreContext 根据需要选择Local Computer或者Current User。
切换至Creat Cert界面,选择导出证书的位置,上面的密码根据自己需要可以加也可以不加,Copy Certificate to Store 选择Local Computer 本地电脑,然后点击Create the Certificate 即可创建成功了CA证书。
点击创建后系统会自动把CA证书添加至本机的可信证书中,就不用我们手工再次添加了,这个工具的下载链接。
