? Certificado SSL autofirmado

Crear un certificado SSL autofirmado es extremadamente simple. Unos pocos comandos de openssl pueden generar una clave y un certificado. Sin embargo:

Los certificados autofirmados no son confiables en Internet, pero si los prueba en casa o en la LAN, no habrá ningún problema. Porque muchas aplicaciones ahora requieren archivos de configuración f para completar automáticamente la información personal que debe ingresarse.

Por ejemplo, puede crear un ~/.ssl/CSR-Config.cnf con el siguiente formato de contenido:

Al generar un archivo de solicitud CSR, puede usar -config parámetro para hacer referencia a este archivo de configuración No es necesario ingresar el enlace interactivo, el comando es el siguiente:

Además, dado que el nombre de dominio especificado anteriormente es www.dev.lan, lo escribí de manera informal. . Para permitir que el local acceda al servidor en la LAN normalmente, www.dev.lan debe especificarse como una dirección IP en el /etc/hosts local, como 192.168.1.101

En cualquier En este caso, el certificado autofirmado no será de confianza automáticamente.

Por lo tanto, el certificado del servidor debe importarse manualmente o confiar en cada dispositivo cliente.

Chrome confía en los certificados autofirmados:

Abra: chrome://flags/#allow-insecure-localhost y habilite los certificados locales inseguros.

Mac confía de forma nativa en el certificado autofirmado:

Arrastre y suelte el icono de advertencia rojo en Chrome directamente en el escritorio para guardar el certificado en el escritorio.

Luego haga doble clic para iniciar el administrador de certificados, abra el certificado, haga clic en Confiar arriba y seleccione Confiar siempre.

iOS confía en los certificados autofirmados:

En la barra de direcciones de Safari, haga clic en

Debido a que de todos modos no se confía en los certificados autofirmados, es muy problemático. Simplemente use el certificado de red pública que puede solicitar de forma gratuita en la red de área local y luego Chrome lo reconocerá completamente.

El método consiste en configurar el certificado de terceros para nginx y otros servidores. Luego modifique el archivo /etc/hosts local para asignar la IP en la LAN al sitio web correspondiente al certificado de terceros, como 192.168.1.101 music.spotify.com. En este caso, no habrá ningún aviso de alarma.

Sin embargo, cada cliente también necesita modificar los hosts. (No se puede cambiar en iOS)

Es bastante problemático cambiar todos los clientes. Si puede configurar el enrutador, puede modificar directamente los hosts del enrutador o el reenvío en el enrutador, para que todos. Los clientes en la LAN pueden ser visitados.

Pero la desventaja es que una vez configurado el mapeo en la LAN, no puedes acceder a la URL real music.spotify.com para escuchar canciones.