テストドメイン名www.huawei.com、最初のように提供されるサービスを使用する証明書、CA証明書、秘密鍵とを生成します。
操作:
1、Windows環境へのCA証明書チェーンを抽出する必要があります。
CA証明書チェーンの親ディレクトリ内CAChainCert.pemはRootCA.pem、L2CACert.pem、L3CACert.pemよりなどの詳細が含まれています。
私たちは、CA証明書の検証一般的な証明書は、サービス証明書のopensslコマンドを使用することができます:
SZX1000398961:/ホーム/ CRT / rsa_crt#opensslのを確認し-CAfile ../CAChainCert.pem ServiceDomainCert.pem
ServiceDomainCert.pem:OK
SZX1000398961:/ホーム/ CRTを/ rsa_crt#OpenSSLのを確認し-CAfile ../CAChainCert.pem UniversalCert.pem
UniversalCert.pem:OK
2は、ルート証明書、CA証明書2には、3つのCA証明書、「.CRT」ウィンドウに識別できる形式の名前の判明しました。
、1つのCRT証明書によって1をダブルクリックして、「証明書のインストール」をクリックし、「次へ」をクリックし、信頼されたルート証明機関への証明書ストアを選択し、輸入証明書を完了するために、[OK]をクリックします。
3、生成されたサービス証明書または共通証明書の展開HTTPSサービスを使用して。
在linux环境使用curl测试https请求,看CA证书校验能否通过。
测试请求url:curl --CAcert CAChainCert.pem -v "https://www.huawei.com/test"
如果校验不通过,则会报“SSL certificate problem: unable to get local issuer certificate”之类的错误信息。
如果校验通过,则可正常访问。
在chrome浏览器使用测试域名访问,需要先在C:\Windows\System32\drivers\etc\hosts下配置好测试域名和访问ip。
如果CA证书校验通过,则会显示连接是安全的。
问题总结:
1、找不到签发证书,或者不在证书有效期内。
解决方法:点击查看各层级证书,确认导入证书没有问题。
2、chrome告警该连接是不安全的,报“NET::ERR_CERT_COMMON_NAME_INVALID ”信息。
解决方法:
参考https://support.google.com/chrome/a/answer/7391219?hl=zh-Hans
可能是因为chrome浏览器版本较高,不再采用证书里的Common Name部分校验域名,而是采用Subject Alternative Name部分校验域名。
可使用通用证书UniversalCert.pem代替服务证书ServiceDomainCert.pem,来提供https服务。
需在通用证书的SAN部分添加测试域名,例如*.huawei.com。
可通过openssl命令openssl x509 -in UniversalCert.pem -noout -text,查看SAN部分。
3、chrome告警该连接是不安全的,报“NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM”信息。
解决方法:
可能是因为chrome浏览器版本较高,认为证书签名算法采用了不安全的SHA1,而是应该采用SHA256。
可通过修改openssl签名命令,添加-sha256参数来使用SHA256签名算法。
以上2个问题解决后,正确的证书应该如下:
