uniapp做https证书双向认证(openssl)
本文主要参考了:
https://ask.dcloud.net.cn/article/39567
https://blog.csdn.net/weixin_34387468/article/details/91855502
我主要使用openssl工具来生成的https证书,但是网上大多数是用keytool。其实最重要的是设置正确的SAN信息。(这里介绍了SAN设置)。
生成正确SAN信息的证书,首先要生成3对证书,一个是根证书,用来签发子证书。一个server证书,用来放服务器端。一个client证书,用来放到客户端。
然后将server和client的证书,使用根证书签发。
# CA根证书 openssl req -new -nodes -keyout ca.key -out ca.csr -days 3650 -config ./openssl.cnf # server证书 openssl req -new -nodes -keyout server.key -out server.csr -days 3650 -config ./openssl2.cnf # client证书 openssl req -new -nodes -keyout client.key -out client.csr -days 3650 -config ./openssl2.cnf # 查看证书 是否带san Subject Alternative Name字段是否有值 # csr格式 openssl req -text -noout -in server.csr # crt格式 openssl x509 -text -noout -in client.crt # 签名 带SAN签名 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req
另外附上证书各种格式转换命令
# 转P12 (uniapp需要) openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "client" # crt转pem openssl x509 -in client.crt -out client.pem -outform PE # crt转cer openssl x509 -in server.crt -out server.cer -outform der openssl x509 -in client.crt -out client.cer -outform der # 转der (ios需要) openssl x509 -in client.crt -outform der -out client.der # curl 测试证书命令: curl --cacert ca.crt --cert client.crt --key client.key --tlsv1.2 --insecure https://gateway.xxx.cn/api/_sys/health
看别人踩坑,铺平自己的路,欢迎关注猿界汪汪队;