在内网的项目中也会遇到需要使用HTTPS协议的时候,内部局域网络中没办法使用知名的可信的根证书进行签发证书,所以只能通过自签证书方式进行生成证书,itiverba的官网已经不在维护了,需要下载的话可以到这篇文章中进行下载,https://www.cnwenhui.cn/html/show-2614.html
先说下生成自签证书的流程,是先生成根证书CA证书,然后基于这个CA证书进行签发站点证书,把生成好的站点证书部署在网站上即可完成整个流程。
打开itiverba软件,在Subject (CN) :CN填写你自定义的证书名字,点击Edit后,在弹出界面中分别填写,Subject (CN) :CN、Organization (O)、E-Mail (E)、Postal Code (PostalCode)、State or Province name (S) 、Title (),主要填写CN、Organization 、Title即可。
填写完成后点击ok,在下方有效期进行选择日期,软件默认的日期比较长,建议调整3年内,不然谷歌浏览器会提示,证书有效期较长无效,Subject Alternative Name 这里需要为空,在下一步签发网站证书时我们才需要填写。Store Context 选择本地电脑 Local Computer。
填写完成后我们需要切换至Extended Prop扩展选项卡,在这里我们需要选择CA的版本好,一般选择1.0即可,然后勾选基础约束条件Basic Constraints,选择主体类型Subject Type为CA。
切换至创建证书Create tert的选项卡,把导出证书位置Export Certificate to File 进行勾选,系统会弹出对话框选择证书的位置和格式,这里我一般建议使用p12证书,也可以根据自己需要选择pem或.pfx,勾选复制证书至本地电脑的可信区域。
点击创建证书Create the Certificate的时候系统会自动把证书写入至电脑的可信证书之中,现在CA根证书已经签发完毕,下一篇文章我们在来讲下使用CA证书来签发我们的网站证书。
在Subject (CN) :CN处点击Edit按钮,在弹出的界面中把CN修改为我们的服务器的IP,也就是我们网站的访问地址,这里以我服务器为例是192.168.10.10,其余内容保持不变即可。
在Subject Alternative Name 处点击Add,在弹出的界面中选择IP Address,在Alternative Name处输入我们服务器的IP地址,这里还是以我们文汇本地服务器为例192.168.10.10,如果签发的是域名可以选择对应的选项进行输入。
点击完成后,可以看到界面中增加了一个192.168.10.10的IP Address的列表,如果服务器存在多个访问的地址,可以继续点击Add进行添加,或点击Edit进行修改,如果不需要可以点击DEL进行删除,即网站证书可以支持多个Subject Alternative Name。
下一步需要点击Extended Prop扩展选项卡,这里要把基础约束条件Basic Constraints进行取消勾选,还有CA Version也进行取消,最主要的一步是选择证书Select Certificate,点击后系统会把刚刚签发的CA证书进行列出来,点击确认。
切换到创建证书的选项卡,选择导出站点证书的位置,这里可以任意选择位置即可,Copy Certificate to Store可以取消掉了,然后点击创建证书Create the 就会把证书写入到我们指定的文件目录中了。
以上就是通过CA根证书签发网站证书的整个过程,把生成的证书部署在网站中就可以了。
