首先,我想指出这适用于Internet Explorer 11.但由于某种原因,我无法让FireFox玩得很好!
所以我已经添加了自己的rootCA安全证书,并且在Internet Explorer下它工作正常,我的网站带有自签名证书是可信的。
但是在Firefox v61.0.1和v65.0上,即使已经添加了我的根证书,另外security.enterprise_roots.enabled设置为true(在about:config中),我仍然得到“你的连接不安全”消息,我必须添加一个安全例外只是为了查看我的网站。
在包含添加例外的消息和按钮的区域中,Firefox说:
“xx.xxx.xx.x使用无效的安全证书。证书仅对xx.xxx.xx.x有效。错误代码:SSL_ERROR_BAD_CERT_DOMAIN”
现在xx.xxx.xx.x是一个可以上网的IP地址,上面一行中的两个实例都具有完全相同的IP地址,我已经将CN用于CN字段。
单击SSL_ERROR_BAD_CERT_DOMAIN显示:“无法与对等方安全通信:请求的域名与服务器的证书不匹配.HTTP Strict Transport Security:false HTTP公钥锁定:false证书链:----- BEGIN CERTIFICATE ----- .......”
无论如何,我猜测在其当前的配置中,Mozilla FireFox确信该站点具有无效证书,而实际上它是有效的,并且其混淆的原因可能是它期望域名不是IP地址。
如果是这样,有没有办法告诉Firefox尊重基于IP地址的ssl证书?
同样,对于我来说,当前配置与Internet Explorer完美配合。
如你所知,许多工具如内置IDE svn和其他源代码控制客户端在ssl-cert中有什么值得抱怨的时候真的不喜欢它。
这就是我在Windows中创建和加载自己的Root CA Authority的麻烦的原因。并且不,请不要推荐letsencrypt,需要经常更新,我没有它似乎需要更新的传入OPEN端口。
谢谢!
万岁!成功:)我去了我的想法是对IP vs名称的混淆,发现我在[alt_names]部分下的extfile我使用过DNS.1 = xx.xxx.xx.x
所以我只是编辑了我的extfile并更改了DNS.1 = ...现在为IP.1 = xx.xxx.xx.x.
然后我简单地重新创建了我的网络服务器证书。对于任何想知道的人,这是实际的命令:
openssl x509 -req -in mywebserver.csr -CA myrootCA.pem -CAkey myrootCA.key -CAcreateserial -out ./certs/mynginxwebserverIP.crt -days 2555 -sha256 -extfile myextfile.cnf
这覆盖了我当前的.crt文件,我需要做的就是nginx -s reload和宾果游戏!
希望帮助别人因为它让我发疯!
现在它在Firefox中运行得很好,我得到了令人欣慰的漂亮的绿色锁:)并且互联网浏览器不知道/关心差异,双向工作:D