月月月子喵~

关于签发证书的一些坑

2021-03-28

最近遇到一些关于证书签发的问题, 记录一下

file_6705410-min

ca md too weak#

就根证书算法太鶸了. 这个是 openssl 1.1.1 的更新, 不能再使用 md5 了

解决办法#

-md5 换成 -sha512 或者其他强度高一点的

openssl req -new -key ./ca.key.pem -new -x509 -days 3650 -sha512 -extensions v3_ca -out ./ca.cert.pem

Chrome NET::ERR_CERT_COMMON_NAME_INVALID#

这个一般是你签发的域名和证书不对应, 修改 域名即可

泛域名证书匹配#

泛域名只能有一级, 比如 *.haozi.local 只能包含 a.haozi.local, qqwq.haozi.local 不能包含 a.a.haozi.local

不然也会引起上面的那个 ERR_CERT_COMMON_NAME_INVALID, 要包含 a.a.haozi.local的就需要 *.a.haozi.local

PEM 证书转 CER#

 openssl x509 -outform der -in .\usercert.pem -out cert.cer

除另有声明外,本博客文章均采用 知识共享(Creative Commons) 署名-非商业性使用-相同方式共享 3.0 中国大陆许可协议 进行许可。