首页 > 其他分享 >Keytool 自签名证书,让浏览器信任证书

Keytool 自签名证书,让浏览器信任证书

时间:2023-07-05 17:13:24浏览次数:51  
标签:浏览器 证书 ip 243.182 dns 245.171 172.24 Keytool

背景:CA机构的证书要花钱,客户不想花钱又需要ssl。

相关工具:keytool,openssl 可以生成自签名证书,个人使用的是 keytool

操作系统:Mac,Chrome (版本 114.0.5735.198(正式版本) (arm64)),Safari(版本16.5.1 (18615.2.9.11.7)),FireFox(115.0(64位))

需求:多IP集群情况下,能够使用一份自签名证书。

结果:总体能够接受,除了FireFox 麻烦一些,Chrome和Safari 都只需要信任证书一次即可

参考文档:https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html

# 添加多个DNS和IP 适配双管节点+VIP
/usr/lib/jvm/java-1.8.0-openjdk/bin/keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 365 -dname "CN=172.24.*,OU=ZStack,O=ZOPS,L=SH,ST=SH,C=CN" -ext san=dns:172.24.243.182,dns:172.24.245.171,dns:172.24.111.194,ip:172.24.243.182,ip:172.24.245.171,ip:172.24.111.194

# -dname "CN=172.24.*,OU=ZStack,O=ZOPS,L=SH,ST=SH,C=CN"  这个是方便跳过手动输入 名称 组织 城市等信息
# -ext san=dns:172.24.243.182,dns:172.24.245.171,dns:172.24.111.194,ip:172.24.243.182,ip:172.24.245.171,ip:172.24.111.194 将多DNS打包一起,在Chrome和Safari能够避免手动信任多份证书

遇到的问题

  1. 下载证书加入钥匙串(Mac)

  2. Safari 此连接非私人连接
    通过下载证书并且添加到本地证书库并且设置为始终保持允许

  3. Chrome 您的连接不是私密连接 NET::ERR_CERT_AUTHORITY_INVALID
    通过下载证书并且添加到本地证书库并且设置为始终保持允许

  4. Chrome net::err_cert_common_name_invalid
    这个是在前一步本机添加完证书的情况下出现的。这个挺难搞,线索太少。经过资料查询是证书本身的DNS出现错误导致

# 重新生成证书,添加 -ext san=dns:172.24.194.238,ip:172.24.194.238 设置dns(如果是域名还可以用*.zstack.io这种方式配置解决子域名重复配置问题)
/usr/lib/jvm/java-1.8.0-openjdk/bin/keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 365 -ext san=dns:172.24.194.238,ip:172.24.194.238
  1. FireFox MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
    添加完证书后依然出现这个错误

手动将这个证书设置为例外

  1. 证书重新生成后发现证书链接还是之前的
    建议实验阶段每个证书名都加个编号方便发现证书没变,不然挺难发现这个问题。

通过清除浏览器缓存,和重启服务解决。

  1. 集群怎么只用一份证书
# 添加多个DNS和IP 适配双管节点+VIP
/usr/lib/jvm/java-1.8.0-openjdk/bin/keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 365 -dname "CN=172.24.*,OU=ZStack,O=ZOPS,L=SH,ST=SH,C=CN" -ext san=dns:172.24.243.182,dns:172.24.245.171,dns:172.24.111.194,ip:172.24.243.182,ip:172.24.245.171,ip:172.24.111.194

# -dname "CN=172.24.*,OU=ZStack,O=ZOPS,L=SH,ST=SH,C=CN"  这个是方便跳过手动输入 名称 组织 城市等信息
# -ext san=dns:172.24.243.182,dns:172.24.245.171,dns:172.24.111.194,ip:172.24.243.182,ip:172.24.245.171,ip:172.24.111.194 将多DNS打包一起,在Chrome和Safari能够避免手动信任多份证书

标签:浏览器,证书,ip,243.182,dns,245.171,172.24,Keytool
From: https://www.cnblogs.com/linma/p/17529003.html

相关文章

  • 解决浏览器SSL缓存,自动将http跳转至https导致无法访问的问题
    PHP交流群  656679284  为PHP广大爱好者提供技术交流,有问必答,相互学习相互进步!这里汇总一下几大常见浏览器HSTS的关闭方法。Safari浏览器完全关闭Safari删除 ~/Library/Cookies/HSTS.plist 这个文件重新打开Safari即可极少数情况下,需要重启系统Chrome浏览器......
  • cfssl 自签证书
    cfssl1**.1准备cfssl证书生成工具**cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用。找任意一台服务器操作,这里用Master节点。wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64wgethttps://pkg.cfssl.org/R1.2/cfssljson_linux-amd64wgetht......
  • 如何将SSL证书从Kubernetes Secrets导出并复原为证书PEM和密钥文件
    首先,您需要使用kubectl工具从Kubernetes导出Secret到一个yaml文件,这通常使用如下命令:kubectlgetsecretmy-secret-oyaml>my-secret.yaml然后我们可以创建一个简单的bash脚本来处理yaml文件并导出证书:#!/bin/bash#解析yaml文件并得到证书内容certData=......
  • Camstar SSL需要证书下载才能导入excel
    谷歌浏览器F12,点击security,点击ViewCertificate.  下载好了,双击,进行安装 设置:注册表 ......
  • MacBook能连上Wi-Fi,浏览器连接不上网站的解决方法
    MacBook连接上Wi-Fi后,可以使用微信等软件,却无法打开网页,解决办法是1.点击左上方苹果图标>>>系统设置>>>网络>>>点击详细信息点击DNS>>>将DNS服务器进行修改>>>+-号是增加或删除>>>然后就能正常使用浏览器 部分DNS ......
  • mac ventura 证书不受信任
    iOS发布App每隔一段时间都会有新的要求,这次遇到iOSSDK最低是16.1,无奈把MacOS到Ventura13.0,但出问题了启动不了,故重装了MacOS后,安装了xcode14.1,然后在xcode重新生成了AppleDistribution,登录到开发者中心网站新建了provisioningprofile,并通过xcode 下载到本机。通过上述......
  • 常见证书文件如何转成crt和key格式
    1常见证书文件*.DER或*.CER文件:该文件是二进制格式,它只含有证书信息,不包含私钥。*.CRT文件:该文件是二进制格式或文本格式,它也只含有证书信息,不包含私钥。*.PEM文件:该文件是文本格式,它一般存放证书或私钥,或同时包含证书和私钥。*.PEM文件如果只包含私钥,一般用*.KEY文件代替。*.PF......
  • 利用指纹浏览器和防关联浏览器保障跨境电商的安全性
    随着全球化和数字化的发展,跨境电商正成为全球商业交易的主要形式之一。然而,随之而来的安全问题也愈发引人关注。为了确保跨境电商的安全性,不仅需要采取传统的安全措施,还需要利用创新的技术来提高安全保障水平。本文将探讨如何利用指纹浏览器和防关联浏览器来保障跨境电商的安全性,从......
  • 浏览器的密码填充问题
     给input标签添加只读属性,然后在获取焦点的时候去除只读属性<inputtype="password"readonlyonfocus="this.removeAttribute('readonly');"/> 原文:https://blog.csdn.net/fireofjava/article/details/104715068......
  • iOS分发证书过期或手动吊销,会影响App的下架吗?
    ​iOSdistribution发布证书过期或者被手动revoke了app会被下架吗? 在距离distribution证书过期一个月(或被手动revoke了)的时候会受到apple的邮件  ​编辑 虽然distribution过期(或者被手动revoke)了,如果你的开发者账号是company(公司)类型或个人类型的,只要你的每年99$的......