我已经使用 openssl 生成了一个自签名证书 - 它完全是自签名的,而不是由自签名 CA 签名的。我已成功将其导入 nss 数据库以供浏览器使用。我现在想要在全球范围内信任它,这样 wget、curl 等工具就不会烦人了。
按照其他地方的说明,我将证书复制到 /etc/pki/ca-trust/source/anchors/ ,然后运行“update-ca-trust extract”。不幸的是,这似乎只适用于 CA 证书,不适用于单个证书。我怎样才能实现我所追求的目标?我知道我可以生成一个自签名 CA 并用它签署我的证书,但我有理由不这样做。
我这样生成了我的证书:
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.crt
openssl x509 -sha256 -req -extensions v3_req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile /etc/pki/tls/openssl.cnf
任何帮助将不胜感激!
我正在尝试设置供 Apache 使用的自签名通配符证书,通常这非常简单,我只需使用根域设置主题备用名称,并在通用名称字段中指定 *.dcrdev.com。但是,这似乎不起作用 - 当我尝试在 chrome 中访问该站点或在 sslabs 中对其进行测试时,他们在访问任何子域(例如 www.dcrdev.com 或 subdomain1.dcrdev.com)时报告 URL 不匹配。我不知道为什么,当我在 chrome 中查看证书信息时,它显示的通用名称为 *.dcrdev.com。
我的客户代表:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=GB, ST=South Yorkshire, L=Sheffield, O=DCR Holdings, OU=DCR Development, CN=*.dcrdev.com/emailAddress=webmaster@dcrdev.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
lah blah
我的证书:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1048577 (0x100001)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=GB, ST=South Yorkshire, L=Sheffield, O=DCR Holdings, OU=DCR Root Authority, CN=*.dcrdev.com/emailAddress=administrator@dcrdev.com
Validity
Not Before: Oct 13 23:41:03 2015 …