请教一个HTTPS自签问题

moe

3年前

本帖最后由 xixi3 于 2022-5-6 15:22 编辑

想折腾一个自签的HTTPS，IOS上安装了CA证书访问依然爆错，我感觉没有设置错误啊。

my-openssl.cnf文件如下

复制代码

CA签名指令：

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=example.ca.com" -days 5000 -out ca.crt

复制代码

证书签名指令：

openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ca.qingmuhy.com" -days 36500 -out ca.crt
openssl genrsa -out server.key 4096
openssl req -new -sha512 -key server.key
-subj "/CN=webdav.qingmuhy.com"
-reqexts SAN
-config <(cat my-openssl.cnf <(printf "n[SAN]nsubjectAltName=DNS:webdav.qingmuhy.com"))
-out server.csr
openssl x509 -req -days 36500
-in ios.csr -CA ca.crt -CAkey ca.key -CAcreateserial
-extfile <(printf "subjectAltName=DNS:webdav.qingmuhy.com")
-out server.crt

复制代码

相关的文件放在附件里了，因为后面我还要再重新弄，所以发也没啥问题，请懂得MJJ能帮忙指点一下，看了好几个HTTPS原理视频了，总找不到问题所在。

最后不管你知不知道问题在哪，感谢你看到这里。

1 小时前上传

点击文件名下载附件

5.36 KB, 下载次数: 0

这个问题很简单，看头像

表妹发表于 2022-5-6 15:22
这个问题很简单，看头像

还真是贫穷问题，买不起一年的SSL用在NAS上，想着不如自己签一个。

xixi3 发表于 2022-5-6 15:23
还真是贫穷问题，买不起一年的SSL用在NAS上，想着不如自己签一个。

要买啥啊，Let’s Encrypt免费的，虽然证书只有90天，但是配个acme.sh/lego就能自动续期

这是最好的年代发表于 2022-5-6 15:24
要买啥啊，Let’s Encrypt免费的，虽然证书只有90天，但是配个acme.sh/lego就能自动续期 …

反正各种问题纠结在一起，最后还是直接导入长期证书是最优解。

这是最好的年代发表于 2022-5-6 15:24
要买啥啊，Let’s Encrypt免费的，虽然证书只有90天，但是配个acme.sh/lego就能自动续期 …

因为威联通只能导入证书，如果设置Acme的话因为官方没有CLI导入，只能在再装个nginx反代，但装那么多东西的话，内存就会吃紧（会很卡），所以还是一次性导入个长期的证书最方便。

这是最好的年代发表于 2022-5-6 15:24
要买啥啊，Let’s Encrypt免费的，虽然证书只有90天，但是配个acme.sh/lego就能自动续期 …

然后威联通官方可以用Acme，但是只能用80 443 验证，这些端口被运营商封了，想用DNS验证因为没有官方的证书导入API，就要装一堆东西反代，又回到了内存困局上。