uniapp做https证书双向认证(openssl)

本文主要参考了:

https://ask.dcloud.net.cn/article/39567

https://blog.csdn.net/weixin_34387468/article/details/91855502

 

我主要使用openssl工具来生成的https证书,但是网上大多数是用keytool。其实最重要的是设置正确的SAN信息。(这里介绍了SAN设置)。

生成正确SAN信息的证书,首先要生成3对证书,一个是根证书,用来签发子证书。一个server证书,用来放服务器端。一个client证书,用来放到客户端。

然后将server和client的证书,使用根证书签发。

 

# CA根证书
openssl req -new -nodes -keyout ca.key -out ca.csr -days 3650 -config ./openssl.cnf
# server证书
openssl req -new -nodes -keyout server.key -out server.csr -days 3650 -config ./openssl2.cnf
# client证书
openssl req -new -nodes -keyout client.key -out client.csr -days 3650 -config ./openssl2.cnf

# 查看证书 是否带san Subject Alternative Name字段是否有值
# csr格式
openssl req -text -noout -in server.csr
# crt格式
openssl x509 -text -noout -in client.crt

# 签名 带SAN签名
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -extfile ./openssl2.cnf -extensions v3_req

 

另外附上证书各种格式转换命令

# 转P12 (uniapp需要)
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "client" 

#  crt转pem
openssl x509 -in client.crt -out client.pem -outform PE

#  crt转cer
openssl x509 -in server.crt -out server.cer -outform der
openssl x509 -in client.crt -out client.cer -outform der

# 转der (ios需要)
openssl x509 -in client.crt -outform der -out client.der
# curl 测试证书命令:
curl --cacert ca.crt --cert client.crt --key client.key --tlsv1.2 --insecure https://gateway.xxx.cn/api/_sys/health

 

看别人踩坑,铺平自己的路,欢迎关注猿界汪汪队;

posted @ 2022-03-11 21:24  猿界汪汪队  阅读(1044)  评论(0编辑  收藏  举报