在浏览器中使用https:// dev:8080 /或其他CNAME而不出现安全错误

编程问答 2022-08-15

问题描述

这里的机器是laptop.mylocaldomain.net,而dev是一条CNAME记录,别名是本地DNS服务器中的笔记本电脑主机。两者都响应ping并提供与预期相同的IP地址。

但是,无论是Firefox,Chrome还是Edge,如果我从具有自签名证书的便携式计算机上导航到在IIS上运行的https:// dev:8080 /,我都会收到未连接:潜在的安全问题错误,并且无法连接到该站点,但是如果我使用https://dev.mylocaldomain.net:8080/(该IP地址是同一IP地址),则会收到警告:潜在的安全隐患警告,我可以继续进行以下操作:网站。

也https:// laptop:8080 /发出相同的警告:潜在的安全隐患警告,我可以继续访问该网站。仅CNAME https:// dev:8080 /不起作用。

证书创建脚本:

#/bin/sh
sudo openssl genrsa -out LocalDevelopmentCert.key 2048
sudo openssl req -new -key LocalDevelopmentCert.key -sha256 -days 3650 -out LocalDevelopmentCert.csr -config openssl.cnf
sudo openssl x509 -req -days 3650 -in LocalDevelopmentCert.csr -signkey LocalDevelopmentCert.key -out LocalDevelopmentCert.crt -extensions v3_req -extfile openssl.cnf
sudo openssl pkcs12 -name "Local Development IIS Cert" -export -out LocalDevelopmentCert.pfx -inkey LocalDevelopmentCert.key -in LocalDevelopmentCert.crt

openssl.cnf的“备用名称”部分:

[alt_names]
DNS.1 = *.mylocaldomain.net
DNS.2 = dev
IP.1 = 192.168.XXX.XXX # <- IP address of dev laptop

我尝试将CN设置为地址的各种排列,例如dev,dev.mylocaldomain.net等。它们似乎都无法在浏览器中工作。

如何使https:// dev:8080 /工作?

更新1:

Jesux Manager SSL诊断报告部分:

BINDING: https *:8080:
SSLCertHash: b10671ac592ea5363db0a189fa72180d49ff1956
SSL Flags: None
Testing EndPoint: 127.0.0.1
Cannot find certificate with thumbprint b10671ac592ea5363db0a189fa72180d49ff1956 in store My.

在Windows 10上没有一个名为“我的”的商店。我检查了MMC中的“当前用户”和“本地计算机”中的每个商店,以确保没有重复。

更新2:

我使用以下方法生成一个自签名证书,该证书在Jexus Manager中工作时报告为正常,并且其属性表明该证书还可以。

#!/bin/sh
echo "
[req]
default_bits = 2048
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn

[dn]
C = MyCountry
ST = MyState
L = MyLocality
O = Local Org
OU = Local Org Unit
emailAddress = [email protected]
CN = *.mylocaldomain.net

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = dev.mylocaldomain.net
DNS.2 = dev
DNS.3 = prod.mylocaldomain.net
DNS.4 = prod
DNS.5 = www
DNS.6 = laptop
DNS.7 = desktop
DNS.8 = localhost
">openssl.current.cnf

sudo openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout localcert.key -days 3650 -out localcert.crt -config openssl.current.cnf
sudo openssl pkcs12 -export -out localcert.pfx  -inkey localcert.key -in localcert.crt -name "Local Dev Certificate"

它可以作为自签名证书Edge和Chrome正常运行,但不能在Firefox中使用。 Firefox是否要求您成为自己的本地开发CA?

解决方法

暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!

如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@)

certificatecnamednsiisiisopenssl