自签名证书实现浏览器IP证书访问

解决本地/服务器访问域名需要点击接受非安全许可的https网站，如：

 

步骤

创建文件夹

mkdir ssl

cd ssl

创建文件 ext.ext

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

 

[ SubjectAlternativeName ]

IP.1=127.0.0.1

IP.2=192.168.1.30

 

上面IP.2 改成自己电脑的IP地址或服务器IP

 

openssl req -new -newkey rsa:2048 -sha256 -nodes -out server.csr -keyout server.key -subj "/C=CN/ST=Beijing/L=Beijing/O=MY/OU=Web Security/CN=127.0.0.1"

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile ./ext.ext

 

在目录下出现:

 

配置到nginx

server {

listen 8289 ssl;

server_name localhost;

 

ssl_certificate /root/ssl/server.crt; #改成实际路径

ssl_certificate_key /root/ssl/server.key; #改成实际路径

 

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

 

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

 

location / {

proxy_pass http://127.0.0.1:8189/;

}

}

配置电脑,信任证书:

mac请自行网上搜索

 

 

浏览器访问前后对比

未配置证书前

重启浏览器后：

其他

讲crt文件导入手机中，也可以解决手机无法访问受信任的https网站

删除导入的证书（windows）：

win+R，运行：certmgr.msc

右击删除即可。