Apache2 + OpenSSL, Сертификат CA

Question

Я создал самозаверяющий сертификат сервера, личный ключ сервера и собственный сертификат центра сертификации, используя следующие команды.

openssl genrsa -out ca.key 2048
openssl req -config openssl.cnf -new -x509 -days 365 -key ca.key -out ca.crt
openssl genrsa -out server.key 2048
openssl req -config openssl.cnf -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

Затем я добавил их в httpd-ssl.conf, используя приведенное ниже.

SSLCertificateFile "C:/Apache2/conf/server.crt"
SSLCertificateKeyFile "C:/Apache2/conf/server.key"
SSLCertificateChainFile "C:/Apache2/conf/ca.crt"

Однако при посещении https://localhost я получаю: -

Secure Connection Failed Произошла ошибка при подключении к локальный. Сертификат пэра имеет недействительную подпись. (Код ошибки: sec_error_bad_signature) Страница, которую вы пытаетесь просмотреть, не может быть показано, потому что подлинность полученных данных не может быть проверено. * Пожалуйста, свяжитесь с владельцами веб-сайта, чтобы сообщить им об этой проблеме.

Есть идеи у кого-нибудь?

Спасибо

Обычная ненадежная ошибка localhost использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку он самоподписан.

Ошибка моего сертификата CA Произошла ошибка при подключении к localhost. Сертификат пэра имеет недействительную подпись.

Answer 1

Попробуйте заново сгенерировать свой сертификат следующим образом:

openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr

Затем удалите парольную фразу из сертификата сервера, чтобы Apache не запрашивал пароль при каждом его перезапуске:

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

А затем сгенерируйте свой самоподписанный сертификат

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

После этого просто укажите SSLCertificateFile и SSLCertificateKeyFile для использования нового сертификата.

Answer 2

Поскольку у самозаверяющих сертификатов нет доверенного корневого центра сертификации, необходимо добавить их в список доверенных ЦС браузера.Браузер не может проверить ненадежный сертификат.

Answer 3

Это потому, что это самозаверяющий сертификат.Чтобы избежать этого сообщения, вам необходимо проверить себя и купить сертификат у доверенного центра сертификации, такого как Verisign, GoDaddy и т. Д.Вы также можете попробовать бесплатный сертификат от COMODO Instant SSL

Поскольку вы только тестируете на localhost, не беспокойтесь о предупреждении.Но на производстве это может отпугнуть ваших пользователей.