如何为开发的域名创建自签名证书？

我添加此信息是因为接受的答案似乎没有完全解决问题，或者至少没有为我解决问题。

使用IIS的自签名证书功能，您无法为证书设置公用名（CN），因此无法创建绑定到您选择的子域的证书。

解决此问题的一种方法是使用与.Net 2.0 SDK捆绑在一起的makecert.exe。在我的服务器上它位于：

C:\Program Files\Microsoft.Net\SDK\v2.0 64bit\Bin\makecert.exe

您可以创建签名授权机构并将其存储在LocalMachine证书库中，如下所示（必须从管理员帐户或提升的命令提示符下运行这些命令）：

makecert.exe -n "CN=My Company Development Root CA,O=My Company,
 OU=Development,L=Wallkill,S=NY,C=US" -pe -ss Root -sr LocalMachine
 -sky exchange -m 120 -a sha1 -len 2048 -r

然后，您可以创建绑定到子域并由新权限签名的证书：

（请注意，-in参数的值必须与用于生成上述权限的CN值相同。）

makecert.exe -n "CN=subdomain.example.com" -pe -ss My -sr LocalMachine
 -sky exchange -m 120 -in "My Company Development Root CA" -is Root
 -ir LocalMachine -a sha1 -eku 1.3.6.1.5.5.7.3.1

然后，您的证书应出现在IIS管理器中，以便绑定到您的站点，如Tom Hall的帖子中所述。

对于Mike O'Brien在http://www.mikeobrien.net/blog/creating-self-signed-wildcard上发表的精彩博客文章，这个解决方案的所有荣誉

使用PowerShell

从Windows 8.1和Windows Server 2012 R2（Windows PowerShell 4.0）及更高版本，您可以使用新的New-SelfSignedCertificate cmdlet创建自签名证书：

例子：

New-SelfSignedCertificate -DnsName www.mydomain.com -CertStoreLocation cert:\LocalMachine\My

New-SelfSignedCertificate -DnsName subdomain.mydomain.com -CertStoreLocation cert:\LocalMachine\My

New-SelfSignedCertificate -DnsName *.mydomain.com -CertStoreLocation cert:\LocalMachine\My

使用IIS管理器

1. 启动IIS管理器
2. 在服务器级别的IIS下，选择“服务器证书”
3. 在“操作”下的右侧，选择“创建自签名证书”
4. 在其中显示“为证书指定友好名称”的位置，以适当的名称输入以供参考。 示例：www.domain.com或subdomain.domain.com
5. 然后，从左侧列表中选择您的网站
6. 在Actions下的右侧选择Bindings
7. 添加新的HTTPS绑定并选择刚刚创建的证书（如果您的证书是通配符证书，则需要指定主机名）
8. 单击“确定”并测试它。

要为特定域创建新证书，请执行以下操作：

以管理员身份打开Powershell ISE，运行命令：

New-SelfSignedCertificate -DnsName *.mydomain.com, localhost -CertStoreLocation cert:\LocalMachine\My

信任新证书：

• 打开mmc.exe
• 转到控制台根目录 - >证书（本地计算机） - >个人
• 选择您创建的证书，右键单击 - >所有任务 - >导出，然后按照导出向导创建.pfx文件
• 转到控制台根目录 - >证书 - >受信任的根证书颁发机构并导入新的.pfx文件

要将证书绑定到您的站点：

• 打开IIS管理器
• 选择您的站点，然后在右侧窗格中选择“编辑站点” - >“绑定”
• 使用正确的主机名和新证书添加新的https绑定

我不得不通过组合来自给定答案和更多资源的点点滴滴来解决Windows上的自签名证书。这是我自己的（希望是完整的）演练。希望它能省去你一些痛苦的学习曲线。它还包含相关主题的信息，这些信息将在您创建自己的证书时迟早弹出。

在Windows 10上创建自签名证书

不要使用makecert.exe。它已被微软弃用。 现代方式使用Powershell命令。

Windows 10：

使用管理员权限打开Powershell：

New-SelfSignedCertificate  -DnsName "*.dev.local", "dev.local", "localhost"  -CertStoreLocation cert:\LocalMachine\My  -FriendlyName "Dev Cert *.dev.local, dev.local, localhost"  -NotAfter (Get-Date).AddYears(15)

Windows 8，Windows Server 2012 R2：

在这些系统的Powershell中，参数-FriendlyName和-NotAfter不存在。只需从上面的命令行中删除它们即可。 使用管理员权限打开Powershell：

New-SelfSignedCertificate  -DnsName "*.dev.local", "dev.local", "localhost"  -CertStoreLocation cert:\LocalMachine\My

结果证书

上述两个命令都为域localhost和*.dev.local创建证书。 Win10版本还具有15年的实时时间和可读显示名称“Dev Cert * .dev.local，dev.local，localhost”。

更新：如果您在参数-DnsName中提供了多个主机名条目（如上所示），则这些条目中的第一个将成为域的主题（AKA通用名称）。所有主机名条目的完整列表将存储在证书的主题备用名称（SAN）字段中。 （感谢@BenSewards指出这一点。）

创建后，证书将立即在IIS的任何HTTPS绑定中提供（下面的说明）。

信任证书

新证书不属于任何信任链，因此不被任何浏览器视为可靠。要更改它，我们会将证书复制到计算机上受信任的根CA的证书存储区：

打开mmc.exe，文件→添加/删除管理单元→在左栏中选择“证书”→添加→选择“计算机帐户”→下一步→“本地计算机...”→完成→确定

从您的个人商店导出您的证书

在左栏中选择“证书（本地计算机）/个人/证书”。 找到新创建的证书（在Win 10中，“友好名称”列可能有帮助）。 右键单击此证书→所有任务→导出...→下一步→选择“否，不导出私钥”→下一步→选择“DER编码...”→下一步→输入文件名并保存。

提示：我们故意不使用PFX文件格式进行导出。它会将您的私钥包含在导出文件中，并且您通常不希望您的私钥转到任何地方！

将您的证书导入受信任的根CAs商店

在左栏中，右键单击“证书（本地计算机）/受信任的根CA /证书”→“所有任务”→“导入...”→“下一步”→选择刚刚导出的文件→“下一步”→“将所有证书放在以下存储中：受信任的根CA“→下一步→完成。

在国际空间站使用

现在您可以转到IIS管理器，选择本地网站的绑定→添加→https→输入表单myname.dev.local的主机名（您的证书仅对*.dev.local有效）并选择新证书→确定。

添加到主机

还要将主机名添加到C：\ Windows \ System32 \ drivers \ etc \ hosts：

127.0.0.1  myname.dev.local

快乐

现在Chrome和IE应该将证书视为值得信赖并在您打开https://myname.dev.local时加载您的网站。

Firefox维护自己的证书库。要在此处添加证书，您必须在FF中打开您的网站，并在FF警告您有关证书时将其添加到例外中。

对于Edge浏览器，可能需要更多操作（请参阅下文）。

测试证书

要测试您的证书，Firefox是您的最佳选择。 （相信我，我自己就是Chrome粉丝，但在这种情况下，FF更好。）

原因如下：

• Firefox使用自己的SSL缓存，它在shift-reload上被清除。因此，对本地网站的证书的任何更改都会立即反映在FF的警告中，而其他浏览器可能需要重新启动或手动清除Windows SSL缓存。
• 此外，FF还为您提供了一些有价值的提示，以检查证书的有效性：当FF显示其证书警告时，单击高级。 FF将在文本块的中心行显示一个短文本块，其中包含一个或多个可能的警告：

证书不受信任，因为它是自签名的。

这个警告是正确的！如上所述，Firefox不使用Windows证书存储，只有在为其添加例外时才会信任该证书。执行此操作的按钮位于警告下方。

证书对名称无效......

这个警告显示你做错了什么。您的证书的（通配符）域与您网站的域不匹配。必须通过更改网站（子）域或发布匹配的新证书来解决问题。事实上，即使证书不匹配，你也可以在FF中添加一个例外，但是你不会在Chrome中使用这样的组合获得绿色的挂锁符号。

Firefox可以在这个地方显示许多其他不错且易于理解的证书警告，例如过期的证书，带有过时签名算法的证书等。我发现没有其他浏览器能够给我这样的反馈来解决任何问题。

我应该选择开发哪种（子）域模式？

在上面的New-SelfSignedCertificate命令中，我们使用了通配符域*.dev.local。

你可能会想：为什么不使用*.local？

原因很简单：作为通配符域是非法的。 通配符证书必须至少包含二级域名。

因此，*.local形式的域很适合开发HTTP网站。但对于HTTPS来说并非如此，因为您将被迫为您启动的每个新项目颁发新的匹配证书。

重要的附注：

• 有效的主机域可能只包含字母z，数字，连字符和点。没有下划线允许！有些浏览器对这个细节非常挑剔，并且当他们顽固地拒绝将你的域motör_head.dev.local与你的通配符模式*.dev.local相匹配时，会给你带来困难。当你切换到motoer-head.dev.local时，他们会遵守。
• 证书中的通配符只匹配域中的一个标签（=两个点之间的部分），永远不会更多。 *.dev.local匹配myname.dev.local但不是other.myname.dev.local！
• 证书中不可能使用多级通配符（*.*.dev.local）。所以other.myname.dev.local只能用*.myname.dev.local形式的通配符覆盖。因此，最好不要使用第四级域名部分。将所有变体放入第三级部分。这样，您将获得所有开发站点的单个证书。

Edge的问题

这不是关于自签名证书，但仍与整个过程有关： 执行上述步骤后，当您打开myname.dev.local时，Edge可能不会显示任何内容。 原因是Windows 10 for Modern Apps的网络管理的一个特征，称为“网络隔离”。

要解决该问题，请使用管理员权限打开命令提示符并输入以下命令：

CheckNetIsolation LoopbackExempt -a -n=Microsoft.MicrosoftEdge_8wekyb3d8bbwe

有关边缘和网络隔离的更多信息，请访问：https://blogs.msdn.microsoft.com/msgulfcommunity/2015/07/01/how-to-debug-localhost-on-microsoft-edge/

当我想为IIS 8上托管的项目启用SSL时，我遇到了同样的问题。最后我使用的工具是OpenSSL，经过多天与makecert命令的斗争。证书是在Debian中生成的，但我可以无缝地导入它IIS 7和8。

下载与您的操作系统和OpenSSL配置文件兼容的this。将配置文件设置为OpenSSL的默认配置。

首先，我们将生成私钥和证书颁发机构（CA）的证书。此证书用于签署证书申请（CSR）。

您必须完成此过程中所需的所有字段。

1. openssl req -new -x509 -days 3650 -extensions v3_ca -keyout root-cakey.pem -out root-cacert.pem -newkey rsa:4096

您可以使用以下默认设置创建配置文件：现在我们将生成证书请求，该请求是发送给证书颁发机构的文件。

通用名称必须设置为您网站的域名，例如：public.organization.com。

2. openssl req -new -nodes -out server-csr.pem -keyout server-key.pem -newkey rsa:4096

现在，证书请求已使用生成的CA证书进行签名。

3. openssl x509 -req -days 365 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial -in server-csr.pem -out server-cert.pem

必须将生成的证书导出到可以导入IIS的.pfx文件中。

4. openssl pkcs12 -export -out server-cert.pfx -inkey server-key.pem -in server-cert.pem -certfile root-cacert.pem -name "Self Signed Server Certificate"

在此步骤中，我们将导入证书CA.

5. 在您的服务器中，必须将CA证书导入受信任的根证书颁发机构，因为IIS可以信任要导入的证书。请记住，要导入IIS的证书已使用CA的证书进行了签名。 打开命令提示符并键入mmc。 单击“文件”。 选择添加/删除管理单元.... 双击“证书”。 选择计算机帐户和下一步 - >。 选择本地计算机并完成。 好。 转到证书 - >受信任的根证书颁发机构 - >证书，点击证书并选择所有任务 - >导入...

• 选择下一步 - >浏览...
• 您必须选择所有文件才能浏览root-cacert.pem文件的位置。
• 单击“下一步”，然后选择“将所有证书放在以下存储中：受信任的根证书颁发机构”。
• 单击Next和Finish。

通过此步骤，IIS信任我们的证书的真实性。

6. 在我们的最后一步中，我们将证书导入IIS并添加绑定站点。 打开Internet信息服务（IIS）管理器或在命令提示符下键入inetmgr并转到“服务器证书”。 点击导入.... 在Web Hosting上设置.pfx文件，密码和选择证书存储的路径。

• 单击“确定”。
• 现在转到IIS管理器上的站点并选择Bindings ...并添加新绑定。
• 选择https作为绑定类型，您应该能够看到导入的证书。
• 单击“确定”，完成所有操作。

另一种选择是创建一个自签名证书，允许您指定每个网站的域名。这意味着您可以在多个域名中使用它。

在IIS管理器

1. 单击机器名称节点
2. 打开服务器证书
3. 在“动作”面板中，选择“创建自签名证书”
4. 在“指定友好名称...”中将其命名为* Dev（从类型列表中选择“个人”）
5. 保存

现在，在IIS的网站上......

1. 管理绑定
2. 为Https创建一个新绑定
3. 从列表中选择您的自签名证书
4. 选择后，域名框将变为启用状态，您将能够输入您的域名。

生成自签名证书的另一种简单方法是使用Jexus Manager，

1. 在“连接”面板中选择服务器节点。
2. 在中间面板中，单击“服务器证书”图标以打开管理页面。
3. 在“动作”面板下，单击“生成自签名证书...”菜单项。

https://www.jexusmanager.com/en/latest/tutorials/self-signed.html