支持通配符和多域名lehuguoji乐虎国际网址

1八-0一-二陆在v二ex上收看1妹纸发的《身为叁个 贰贰周岁的年轻程序员,作者曾经腰突了(躺》,哈哈,感同身受,想到这几天作者左腿麻木持续了一点天,后天臀部疼的比方坐下就站不起来,不过站着却一点事绝非,然后持之以恒站了某个天,最近臀部不疼,腿麻的疾病还未曾过来。。。[后续]

lehuguoji乐虎国际网址 1

封面图怎么发?

接触到的https

https站点生产环境和本土测试环境搭建在此从前也有些接触(Windows Server2010二〇一二、Win七+IIS、还尚未接触过其余系统Mac
OS算半个),比如生产条件的:从免费的AlphaSSL通配符证书申请(好像已经关闭了),到坐等3月二七号Let’s
Encrypt正式开始展览通配符证书接口。

干什么正是要通配符证书,其实不用也足以,但是要看服务器脸色,Windows
Server2010不扶助SNI哦,倘若是腾讯云大概别的地方免费申请的单域名证书就有点惨了,最近领会到的针对性那种单域名的唯有加上端口才能三个域名同时采用。免费的Let’s
Encrypt签的多域名证书二月要维护一回,感觉好累啊~

地点测试环境相对就归纳多了,自身想怎么搞就怎么搞,证书想怎么签就就怎么签,何人要测试就在处理器上把根证书1装,妥妥的。

从前生成证书比较简单,直接用Windows
Server系统自带作用证件颁发机构就足以成功证书的签发,也直接是如此干的,给自身台式电脑ip签了三个证件,必要的效益开发大多都满意了,须求其实并不曾那么高@.@

lehuguoji乐虎国际网址 2

网络上的壹幅图

好了,为什么又扯出OpenSSL了吗,假若未有Windows
Server,Win7是尚未表明颁发机构那么些东西的,额外再装三个虚拟机吗?不便于,并且对证件颁发机构不够熟,高级点的证书还要优秀研商。必要摸索其余办法了,首要选拔正是OpenSSL了。

预备工作

因为用的是Win七系统,下载了Win32OpenSSL。此前从未有过怎么用过OpenSSL,用的最多约等于生成个把子奥迪Q7SA秘钥,对于签名和申明是素有不曾接触过的,而外花了半天时间寻找学习生成ssl通配符和多域名证书的措施。

IIS全站https计划

准备那样对二级域名举行划分,举个栗子aa.com:

  1. lehuguoji乐虎国际网址,www .aa .com、aa .com:网页和接口
  2. static .aa .com:静态能源,图片、js等
  3. *.aa .com:其余职能站枢纽域名,广告、单独功能站点
  4. bb .com、cc .com:其余域名,备用

一、三、四是全体要上https的,二这么些分http和https,js必须求https,图片之类的远非强制要求,暗中同意全体是https的,让浏览器有把小绿锁。

据他们说这么些域名,本地质度量试生成证书就有倾向了,最佳是一个评释化解,否则IIS配置麻烦的要死。用通配符和多域名解决。

变化本地质衡量试注解

听他们讲网上找到的素材,寻常生成了证件。先生成根证书,然后生成域名证书,最终用根证书对域名证书签名。把根证书导入指标电脑上就能健康访问具有对应的域名了。

1. 创立根证书

@echo off
set OPENSSL_CONF=openssl.ini

echo 创建秘钥
pause
openssl genrsa -out LocalRootCA.key 2048

echo 生成证书并自签名
pause
openssl req -sha256 -new -x509 -days 3650 -key LocalRootCA.key -out LocalRootCA.crt -subj "/CN=LocalRootCA"

echo 完成
pause

二. 创办域名证书

@echo off
set OPENSSL_CONF=openssl.ini

echo 创建秘钥
pause
openssl genrsa -out aa.com.key 2048

echo 创建请求文件
pause
openssl req -new -sha256 -key aa.com.key -out aa.com.csr -subj "/CN=*.aa.com"

echo 生成证书并用根证书签名
pause
openssl x509 -req -in aa.com.csr -CA LocalRootCA.crt -CAkey LocalRootCA.key -CAcreateserial -days 3560 -out aa.com.crt -extfile aa.com.ini -extensions ext

echo 导出pfx,请输入密码
pause
openssl pkcs12 -export -out aa.com.pfx -inkey aa.com.key -in aa.com.crt

echo 完成
pause

3. 上述代码涉及到五个布局文件:

(一)
openssl.ini正是OpenSSL安装目录中的配置文件,维持原状的(除了文件名)
(二) aa.com.ini是多域名配置列表,文件内容:

[ ext ]
subjectAltName = @dns

[ dns ]
DNS.1 = aa.com
DNS.2 = *.aa.com
DNS.3 = bb.com
DNS.4 = cc.com
DNS.5 = localhost
DNS.6 = 127.0.0.1

4. 测试

将根证书导入到系统受依赖的根证书颁发机构内部,将转移的pfx文件导入到iis里面,站点绑定https,那时我电脑上弹出丢失证书链的擢升,可是好像并从未什么样影响。浏览器访问不奇怪的很:

lehuguoji乐虎国际网址 3

域名访问测试

lehuguoji乐虎国际网址 4

变化的表明文件

收尾

能够见到,通过OpenSSL本地已转移了支撑通配符和多域名的证书,本地https全站化测试环境搭建的证书能源算是妥了,想要什么样的就立马生成什么的,能够看看除了域名,IP也是能够支撑进去的。

万一要切换成线上,要简明省钱,等到1月Let’s
Encrypt就能提供完善的缓解方案了,聊起底依旧买不起证书,作者用免费的。

预示:证书搞完后,下一件已到位的事是把总计局的2017年五月透露的新的行政区划数据再一次采集了二遍(省市区镇数据),含数据格式化和拼音标注,整个进程用纯js处理的,这么些方法相比较擅长,过段时间针对这么些成效会独自发1篇文章。

[接续]
大概是躺久了还是是不停坐久了的的缘故呢,来临沂接近20天一贯猫在一间五平方米不到的斗室里面,行李箱当桌子、床当凳子,矮了点。但是前面几天站着幸好,至少未有臀部和腰疼的疾病,前段时间上班经历了第叁遍腰疼,疼了半个月,不过自个儿苏醒了。少坐多站,坐也要坐好,躺也要躺好。

lehuguoji乐虎国际网址 5

You can leave a response, or trackback from your own site.

Leave a Reply

网站地图xml地图