環境
- OpenSSL 1.0.2k
- FireFox 60.0 64位
- Chrome 66.0.3359.181 (正式版本)(32位)
- Internet Explorer 11.2248.14393.0
- Websocketd 0.3.0
- Nginx 1.12.2
步驟
1. 生成CA根證書
1.1 准備ca配置文件,得到ca.conf
vim ca.conf
內容如下
[ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = CN stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = JiangSu localityName = Locality Name (eg, city) localityName_default = NanJing organizationName = Organization Name (eg, company) organizationName_default = Sheld commonName = Common Name (e.g. server FQDN or YOUR name) commonName_max = 64 commonName_default = Ted CA Test
1.2 生成ca秘鑰,得到ca.key
openssl genrsa -out ca.key 4096
1.3 生成ca證書簽發請求,得到ca.csr
openssl req \
-new \
-sha256 \
-out ca.csr \
-key ca.key \
-config ca.conf
配置文件中已經有默認值了,shell交互時一路回車就行。
1.4 生成ca根證書,得到ca.crt
openssl x509 \
-req \ -days 3650 \ -in ca.csr \ -signkey ca.key \ -out ca.crt
2. 生成終端用戶證書
2.1 准備配置文件,得到server.conf
vim server.conf
內容如下
[ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = CN stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = JiangSu localityName = Locality Name (eg, city) localityName_default = NanJing organizationName = Organization Name (eg, company) organizationName_default = Sheld commonName = Common Name (e.g. server FQDN or YOUR name) commonName_max = 64 commonName_default = www.ted2018.com [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = www.ted-go.com DNS.2 = www.ted2018.com IP = 192.168.93.145
Chrome 58以后不再使用CN校驗地址(就是就是瀏覽器地址欄URL中的那個地址host)了,而是使用SAN,注意配置里寫對。
IE 11還是使用CN。
2.2 生成秘鑰,得到server.key
openssl genrsa -out server.key 2048
2.3 生成證書簽發請求,得到server.csr
openssl req \
-new \
-sha256 \
-out server.csr \
-key server.key \
-config server.conf
配置文件中已經有默認值了,shell交互時一路回車就行。
2.4 用CA證書生成終端用戶證書,得到server.crt
openssl x509 \
-req \
-days 3650 \
-CA ca.crt \
-CAkey ca.key \
-CAcreateserial \
-in server.csr \
-out server.crt \
-extensions req_ext \
-extfile server.conf
驗證
1. 配置web服務器
Web服務器選用nginx(Windows),關鍵配置如下
server { listen 443 ssl; server_name localhost; root D:\websocketd-0.3.0-windows_amd64; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { index index.html index.htm; } }
把生成好的server.crt和server.key文件放在與nginx.conf同一目錄下。
2. 改hosts
客戶端機器,Windows系統本地測試,改下hosts以訪問域名
C:\Windows\System32\drivers\etc\hosts
添加如下內容
127.0.0.1 www.ted2018.com
3. 添加CA根證書
右鍵ca.crt安裝,安裝到“受信任的根證書頒發機構”(不然server.crt還是不受信任的)
4. 啟動nginx,Chrome瀏覽器訪問https://www.ted2018.com
Chrome訪問“使用者可選名稱”里面的幾個地址都是OK的(地址欄顯示“連接是安全的”,沒有什么警告)
FireFox配置
火狐瀏覽器--選項--隱私與安全--證書--查看證書--證書頒發機構--導入
把CA根證書ca.crt導入進來,選中該證書,編輯信任,勾選“此證書可以標識網站”。
FireFox瀏覽器訪問https://www.ted2018.com
綠色無警告!
IE11訪問https://www.ted2018.com
不是像github.com那種的綠色,但也無警告,OK
配置Websocket SSL
僅為演示,這里使用Websocketd作為websocket服務器
編寫執行腳本hi.bat,模擬服務端推送消息
@echo off set datevar=%date:~0,4%%date:~5,2%%date:~8,2% echo %datevar% hi
把hi.bat,server.crt和server.key放到websocketd.exe目錄下, 啟動服務
websocketd.exe --port=8001 --ssl --sslcert=server.crt --sslkey=server.key hi.bat
nginx web根目錄的index.html增加websocket客戶端代碼
<script>
var wss = new WebSocket('wss://www.ted2018.com:8001');
wss.onmessage = function (e) {
console.log(e.data);
}
</script>
注意wss連接的地址需要與瀏覽器地址欄的地址一致,都需要是subjectAltNames中的地址(本例中都是www.ted2018.com),不然chrome會禁止這個wss連接
瀏覽器再次訪問https://www.ted2018.com
網絡中顯示wss連接
抓包可見websocket已經加密傳輸
控制台中打印了服務端推送的消息
鏈接
想深入了解證書鏈,可參見以下鏈接
OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation