内网创建https网站的SSL证书、代码签名证书
本文重点讲解使用同一根证书,分别制作网站https的SSL证书、VSTO的代码签名证书,制作环境为安装了vs 2022的windows10、安装了openssl的centos7。
一、制作自签名的根证书
在windows10的环境下,在vs 2022 IDE中选择“工具-命令行-开发者Powershell”,进入命令行界面。
makecert -r -pe -n "CN=根证书名称" -b 08/08/2021 -e 08/08/2028 -sv ca.pvk ca.cer
弹出设置私钥保护口令提示框,选择None。
当前目录下生成的ca.cer即为自签名的根证书(含公钥),ca.pvk为根证书的私钥。
二、制作https网站的SSL子证书
在Centos的环境下,新建目录,将刚刚制作的自签名根证书ca.pvk和ca.cer两个文件拷入,按以下步骤,生成ssl的子证书。
1.生成网站服务器的私钥
openssl genrsa -out server.key 2048
2.修改openssl.cnf 配置文件
将openssl编译目录下apps目录中的openssl.cnf拷贝至当前目录,按以下要求修改配置。
#根据实际情况修改,将match改成optional,否则ca.cer必须与server.csr中的各个字段值一致才能签署
[ policy_match ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# 确保req下存在以下2行(默认第一行是有的,第2行被注释了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = XX
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
localityName_default = Default City
organizationName = Organization Name (eg, company)
organizationName_default = Default Company Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
#添加一行subjectAltName=@alt_names
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names
#新增alt_names,注意括号前后的空格,DNS.x 的数量可以自己加
#如果没有IP这一项,浏览器使用IP访问时验证无法通过
[ alt_names ]
IP.1 = 192.168.50.115
DNS.1 = dfe.leida.org
DNS.2 = ex.abcexpale.net3.创建需要的文件夹及文件
mkdir -p demoCA/newcerts
touch ./demoCA/index.txt ./demoCA/serial
echo "01">> ./demoCA/serial4.生成网站服务器的签署申请文件
openssl req -new -out server.csr -key server.key -config openssl.cnf
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.pvk -extensions v3_req -config openssl.cnf当前目录下生成的server.crt即为https网站服务器的ssl证书,server.key为该服务器的私钥。
5.修改nginx的配置文件
对/etc/nginx/conf.d/default.conf 文件添加如下代码,其中注意修改crt、key文件位置等关键项。
server {
listen 443 ssl;
server_name www.test.com;
ssl_certificate /usr/local/nginx/conf/server.crt;
ssl_certificate_key /usr/local/nginx/conf/server.key;
ssl_session_timeout 5m;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}重启nginx服务或服务器后,https网站将自动运行。
三、制作VSTO代码签名证书
在windows10的环境下,在vs 2022 IDE中选择“工具-命令行-开发者Powershell”,进入命令行界面。
1.生成子证书
makecert -pe -n "CN=代码签名证书名称" -b 08/08/2021 -e 08/08/2028 -iv ca.pvk -ic ca.cer -sv child.pvk child.cer
2.生成pfx证书文件
pvk2pfx -pvk child.pvk -spc child.cer -pfx child.pfx
四、安装根证书和代码签名证书
建立文件夹,将ca.cer、child.cer两个证书拷入,建立安装批处理文件cert.bat。运行VS 2022的计算机、浏览https网站和运行vsto的计算机,都要安装这两个证书。
CertMgr /add ca.cer /s /r localMachine root
certMgr /add child.cer /s /r localMachine trustedpublisher1.windows7环境下,双击cert.bat批处理文件,直接安装两个证书。
2.windows10环境下,cert.bat批处理命令无效,应逐个安装证书,ca.cer安装到“受信任的根证书颁发机构”,child.cer安装到“受信任的发布者”。
五、VSTO使用代码签名证书
VS 2022中,在项目上,点击右键,选择“属性”,在项目属性界面,选择“签名”中的“从文件选择”,选择提前编译好的证书文件,本例为“child.pfx”,点击“打开”后显示“child.pfx”证书的相关内容。