Я создаю самозаверяющие сертификаты x509 таким образом:
openssl genrsa -out myhost.priv.key 2048
openssl rsa -in myhost.priv.key -pubout -out myhost.pub.key
openssl req -new -keyout csr.priv.key -out csr.out -config csr.config
openssl genrsa -out ca.priv.key 2048
openssl req -new -x509 -key ca.priv.key -out ca.pem -config ca.config
openssl x509 -req -in csr.out -CA ca.pem -CAkey ca.priv.key -CAcreateserial -out myhost.pem
Используя вышеизложенное, простой сервер https с csr.priv.key & myhost.pem может обслуживать и получать доступ через curl--cacert myhost.pem https://myhost:4443/.
Теперь я хочу добавить сертификат в /etc/ssl/certs/ca-bundle.pem, чтобы другие браузеры, например, c., Принимали сертификат. Но какой сертификат я должен добавить? Добавление myhost.pem работает для curl (т. Е. Работает без опции --cacert); но, например, смелый жалуется, что Cert Authority является недействительным. Поэтому я считаю, что мне нужно добавить ca.pem; но тогда curl терпит неудачу (самозаверяющий сертификат), и смелый не счастливее.
Я думал, что можно было пометить мои собственные сертификаты как счастливые для моего собственного использования. Очевидно, я не ожидаю, что они будут приняты за пределами моей собственной сети; для этого и есть Let's Encrypt, но я пытаюсь здесь использовать чисто внутренние вещи.
Спасибо,