создать доверенный самозаверяющий сертификат SSL для localhost (для использования с Express / Node)

Пытаюсь следовать различным инструкциям по созданию самозаверяющего сертификата для использования с localhost. Большинство инструкций похоже для IIS, но я пытаюсь использовать Nodejs / Express. Ни один из них не работает должным образом, потому что пока сертификат установлен, ему не доверяют. вот что я пробовал, что не удалось:

• Как я могу создать самозаверяющий сертификат для localhost?
• https://www.digitalocean.com/community/articles/how-to-create-a-ssl-certificate-on-nginx-for-ubuntu-12-04/
• http://blogs.developerforce.com/developer-relations/2011/05/generating-valid-self-signed-certificates.html
• http://www.robbagby.com/iis/self-signed-certificates-on-iis-7-the-easy-way-and-the-most-effective-way/

Может ли кто-нибудь предложить рабочий процесс, который может это сделать? Я могу установить сертификат, но не могу доверять сертификату ни в chrome (v32), ни в IE (v10).

РЕДАКТИРОВАТЬ: в комментариях было высказано предположение, что проблема не в доверенном корне сертификата. Я установил сертификат через IE, но ему все еще не доверяют.

Ответы выше были частичными. Я потратил столько времени на то, чтобы это работало, это безумие. На заметку для себя в будущем: вот что вам нужно сделать:

Я работаю над Windows 10 с Chrome 65. Firefox ведет себя хорошо - просто подтвердите localhost как исключение безопасности, и он будет работать. В Chrome нет:

Шаг 1. В вашем бэкэнде создайте папку с именем security. мы будем работать внутри него.

Шаг 2. Создайте файл конфигурации запроса req.cnfсо следующим содержимым (кредит принадлежит: @Anshul )

req.cnf:

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = Country initials like US, RO, GE
ST = State
L = Location
O = Organization Name
OU = Organizational Unit 
CN = www.localhost.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.localhost.com
DNS.2 = localhost.com
DNS.3 = localhost

Объяснение этого поля находится здесь .

Шаг 3. Перейдите в папку безопасности в терминале и введите следующую команду:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout cert.key -out cert.pem -config req.cnf -sha256

Шаг 4. Затем вне securityпапки в экспресс-приложении сделайте что-то вроде этого: (кредит принадлежит @Diego Mello)

backend 
 /security
 /server.js

server.js:

const express = require('express')
const app = express()
const https = require('https')
const fs = require('fs')
const port = 3000

app.get('/', (req, res) => {
    res.send("IT'S WORKING!")
})

const httpsOptions = {
    key: fs.readFileSync('./security/cert.key'),
    cert: fs.readFileSync('./security/cert.pem')
}
const server = https.createServer(httpsOptions, app)
    .listen(port, () => {
        console.log('server running at ' + port)
    })

Шаг 5. Запустите сервер, node server.jsи перейдите по адресу https: // localhost: 3000. .

На этом этапе у нас есть настройка сервера. Но браузер должен показать предупреждающее сообщение.

Нам необходимо зарегистрировать наш самозаверяющий сертификат в качестве доверенного центра сертификации ЦС в хранилище сертификатов Chrome / Windows.(Chrome также сохраняет это в окнах,)

Шаг 6. Откройте Инструменты разработчика в Chrome, перейдите на панель «Безопасность» и нажмите «Просмотр сертификата».

Шаг 7. перейдите в панель Details, нажмите Copy File, затем, когда появится мастер экспорта сертификатов, нажмите Next, как показано ниже:

Шаг 8. оставьте кодировку DER, нажмите «Далее», выберите Browse, поместите его в легко доступную папку, такую ​​как Рабочий стол, и назовите сертификат.localhost.cer, then click Save and then Finish. . Вы должны увидеть свой сертификат на рабочем столе.

Шаг 9. Откройте chrome://settings/, вставив его в поле url. Внизу нажмите Advanced / Advanced Options, а затем прокрутите вниз, чтобы найти Manage Certificates.

Шаг 10. Перейдите на панель «Доверенные корневые центры сертификации» и нажмите «Импорт».

Мы импортируем localhost.cerсертификат, который мы только что завершили на шаге 8.

Шаг 11. Нажмите «Обзор», найдите localhost.cer, оставьте значения по умолчанию, нажмите «Далее» несколько раз - пока не появится это предупреждение, нажмите «Да».

Шаг 12. закройте все и перезапустите хром. Тогда, идя к https://localhost:3000вам, вы должны увидеть:

Кратчайший путь. Протестировано на MacOS, но может работать аналогично в других ОС.

Создать pem

> openssl req -x509 -newkey rsa:2048 -keyout keytmp.pem -out cert.pem -days 365

> openssl rsa -in keytmp.pem -out key.pem

Ваш экспресс-сервер

const express = require('express')
const app = express()
const https = require('https')
const fs = require('fs')
const port = 3000

app.get('/', (req, res) => {
  res.send('WORKING!')
})

const httpsOptions = {
  key: fs.readFileSync('./key.pem'),
  cert: fs.readFileSync('./cert.pem')
}
const server = https.createServer(httpsOptions, app).listen(port, () => {
  console.log('server running at ' + port)
})

• Откройте https://localhost:3000в Google Chrome, и вы увидите, что это небезопасно. Все же!
• В Инструменты разработчика> Безопасность> Просмотр сертификата: перетащите изображение на рабочий стол и дважды щелкните его.
• Нажмите "Добавить".
• Найдите его в Связке ключей и дважды щелкните по нему.
• Разверните «Доверять» и измените «При использовании этого сертификата» на «Всегда доверять».
• Вам может быть предложено пройти аутентификацию.
• Перезагрузите ваш сервер.
• Обновите ваш браузер.
• Наслаждайтесь! :)

Вы можете попробовать openSSL для создания сертификатов. Взгляните на это .

Вам понадобятся файлы .key и .crt, чтобы добавить HTTPS на сервер JS Express узла. Как только вы его сгенерируете, используйте этот код, чтобы добавить HTTPS на сервер.

var https = require('https');
var fs = require('fs');
var express = require('express');

var options = {
    key: fs.readFileSync('/etc/apache2/ssl/server.key'),
    cert: fs.readFileSync('/etc/apache2/ssl/server.crt'),
    requestCert: false,
    rejectUnauthorized: false
};


var app = express();

var server = https.createServer(options, app).listen(3000, function(){
    console.log("server started at port 3000");
});

Это нормально работает на моем локальном компьютере, а также на сервере, на котором я его развернул. Тот, который у меня есть на сервере, был куплен у goDaddy, но у localhost был самоподписанный сертификат.

Однако каждый браузер выдавал ошибку, говоря, что соединение не является доверенным, вы хотите продолжить. После того, как я нажму «Продолжить», все заработало.

Если кто-нибудь когда-либо обходил эту ошибку с помощью самоподписанного сертификата, просветите пожалуйста.

Как сгенерировать SSL-сертификат для localhost: ссылка

openssl genrsa -des3 -out server.key 1024

вам необходимо ввести пароль здесь, который вам нужно будет повторно ввести в следующих шагах

openssl req -new -key server.key -out server.csr

когда вас спросят "Общее имя" введите: localhost

openssl x509 -req -days 1024 -in server.csr -signkey server.key -out server.crt

Вот что у меня работает

на окнах

1) Добавьте это в свой файл% WINDIR% \ System32 \ drivers \ etc \ hosts: 127.0.0.1 localdev.YOURSITE.net (потому что у браузера есть проблемы с localhost (для сценариев с перекрестным происхождением)

В Windows Vista и Windows 7 Vista и Windows 7 используется контроль учетных записей пользователей (UAC), поэтому Блокнот необходимо запускать от имени администратора.

1. Нажмите Пуск -> Все программы -> Стандартные.

2. Щелкните правой кнопкой мыши Блокнот и выберите Запуск от имени администратора.

3. Нажмите «Продолжить» в окне UAC «Windows требуется ваше разрешение».

4. Когда откроется Блокнот, нажмите Файл -> Открыть.

5. В поле имени файла введите C: \ Windows \ System32 \ Drivers \ etc \ hosts

6. Нажмите Open

7. Добавьте это в свой файл% WINDIR% \ System32 \ drivers \ etc \ hosts: 127.0.0.1 localdev.YOURSITE.net

8. Сохранить

9. Закройте и перезапустите браузеры

На Mac или Linux:

1. Откройте / etc / hosts с suразрешением
2. Добавить 127.0.0.1 localdev.YOURSITE.net
3. Сохрани это

При разработке вы используете localdev.YOURSITE.net вместо localhost, поэтому, если вы используете конфигурации запуска / отладки в своем ide, обязательно обновите их.

Используйте ".YOURSITE.net" в качестве домена cookie (с точкой в ​​начале) при создании cookiem, тогда он должен работать со всеми поддоменами.

2) создайте сертификат, используя этот localdev.url

СОВЕТ: Если у вас есть проблемы с созданием сертификатов в Windows, используйте вместо этого машину VirtualBox или Vmware.

3) импортируйте сертификат, как указано на http://www.charlesproxy.com/documentation/using-charles/ssl-certificates/

Mkcert от @FiloSottile делает этот процесс бесконечно проще:

1. Установите mkcert , есть инструкция для macOS / Windows / Linux
2. mkcert -install создать локальный ЦС
3. mkcert localhost 127.0.0.1 ::1 для создания доверенного сертификата для localhost в текущем каталоге
4. Вы используете узел (который не использует корневое хранилище системы), поэтому вам нужно явно указать CA в переменной среды, например:export NODE_EXTRA_CA_CERTS="$(mkcert -CAROOT)/rootCA.pem"
5. Наконец, запустите свой экспресс-сервер, используя настройку, описанную в различных других ответах (например, ниже)
6. бум. localhost купается в зелени.

Базовая настройка узла:

const https = require('https');
const fs = require('fs');
const express = require('express');

const app = express();    
const server = https.createServer({
    key: fs.readFileSync('/XXX/localhost+2-key.pem'), // where's me key?
    cert: fs.readFileSync('/XXX/localhost+2.pem'), // where's me cert?
    requestCert: false,
    rejectUnauthorized: false,
}, app).listen(10443); // get creative

Если вы используете OSX / Chrome, вы можете добавить самозаверяющий сертификат SSL в свою системную связку ключей, как описано здесь: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and -самосопряженных подписанный SSL-сертификаты-

Это ручной процесс, но наконец-то он заработал. Просто убедитесь, что для общего имени (CN) установлено значение «localhost» (без порта), и после добавления сертификата убедитесь, что для всех параметров доверия в сертификате установлено значение «Всегда доверять». Также убедитесь, что вы добавили его в цепочку ключей «Система», а не в цепочку ключей «Вход».

Если вы используете узел, почему бы не сгенерировать их с помощью узла? Этот модуль кажется довольно полнофункциональным:

• https://github.com/andris9/pem

Обратите внимание, что я не буду генерировать на лету. Сгенерируйте с помощью какого-либо сценария сборки, чтобы у вас был согласованный сертификат и ключ. В противном случае вам придется каждый раз авторизовать вновь созданный самозаверяющий сертификат.

В некоторых из опубликованных ответов есть части, которые были мне очень полезны для решения этой проблемы. Однако меня также интересовали минимальные количество шагов и, в идеале, отказ от OpenSSL (в Windows 10).

Итак, один важный фрагмент из ответов (кредит: @ TroyWorks ) заключается в том, что вам нужно отредактировать файл HOSTS, чтобы создать фиктивный сервер, и сопоставить его с 127.0.0.1. Это предполагает, что вы собираетесь заниматься локальной разработкой.

В моем случае я использовал сертификат SS для защиты веб-сокета в NodeJS, и этот сокет был подключен программно (в отличие от браузера). Поэтому для меня было критически важно, чтобы сертификат был принят без предупреждений или ошибок, и критически важной частью было создание сертификата с правильным CN (и, конечно же, принятие сертификата в доверенные органы, как описано в других местах ответов) , Использование IIS для создания самозаверяющего сертификата не приведет к созданию надлежащего CN, поэтому я обнаружил следующую простую команду с помощью Powershell:

New-SelfSignedCertificate -DnsName "gandalf.dummy.dev" -FriendlyName "gandalf" -CertStoreLocation "cert:\LocalMachine\My"

Это должно быть выполнено в консоли администратора PS, но оно просто работает и помещает сертификат в раздел «Личный» хранилища сертификатов LocalMachine. Вы можете проверить его создание, выполнив:

ls cert:\LocalMachine\My 

Чтобы доверять ему, просто скопируйте это и вставьте в «Доверенные корневые центры сертификации» с помощью диспетчера сертификатов (убедитесь, что вы смотрите на сертификаты локального компьютера, а не на текущего пользователя!).

Если вы привяжетесь к этому сертификату в IIS, вы сможете нажать https://gandalf.dummy.dev/ и получить безопасное соединение без каких-либо предупреждений.

Последняя часть, использующая это в NodeJS, описана выше и в других ответах SO, поэтому я только добавлю, что в Windows легче работать с файлом pfx, который объединяет сертификат и закрытый ключ. Вы можете легко экспортировать pfx из диспетчера сертификатов, но это влияет на то, как вы его используете в NodeJS. При создании экземпляра Сервера с использованием модуля https, параметры, которые вы должны использовать (вместо key и cert), будут pfx и passphrase, как в:

var https = require('https');
var options = { 
    pfx: fs.readFileSync('mypfxfile'), 
    passphrase: 'foo' 
};
var server = https.createServer(options);

в Windows я сделал сертификат разработки iis доверенным с помощью MMC (start> run> mmc), затем добавил оснастку сертификата, выбрав «локальный компьютер» и приняв значения по умолчанию. После того, как этот снимок сертификата добавлен, разверните дерево сертификатов локального компьютера, чтобы найти в разделе «Личные», выберите сертификат localhost, щелкните правой кнопкой мыши> все задачи> экспорт. примите все значения по умолчанию в мастере экспорта.

После сохранения этого файла разверните доверенные сертификаты и начните импортировать только что экспортированный сертификат. https://localhostтеперь доверяет Chrome без предупреждений о безопасности.

Я использовал это руководство № 2 из блога MSDN, оператор также поделился ссылкой в ​​своем вопросе о том, что также следует использовать MMC, но это сработало для меня. разрешение # 2

Перейти к: chrome://flags/

Включить: разрешить недействительные сертификаты для ресурсов, загруженных с localhost.

У вас нет зеленой безопасности, но вы всегда можете использовать https: // localhost в Chrome.

Есть и другие аспекты.

Вы можете достичь TLS (некоторые продолжают говорить SSL) с помощью сертификата, самоподписанного или нет.

Чтобы иметь зеленую полосу для самозаверяющего сертификата, вам также необходимо стать центром сертификации (CA). Этот аспект отсутствует в большинстве ресурсов, которые я нашел на своем пути к достижению зеленой полосы в моей локальной настройке разработки. Стать центром сертификации так же просто, как создать сертификат.

Этот ресурс охватывает создание как сертификата CA, так и сертификата сервера, и в результате моя настройка показала зеленую полосу на localhost Chrome, Firefox и Edge: https://ram.k0a1a.net/self-signed_https_cert_after_chrome_58

Обратите внимание: в Chrome вам нужно добавить сертификат CA в доверенные центры.

Если вам нужно пойти дальше подробных шагов @ alon, а также создать самоподписанный CA:

https.createServer({
  key: fs.readFileSync(NODE_SSL_KEY),
  cert: fs.readFileSync(NODE_SSL_CERT),
  ca: fs.readFileSync(NODE_SSL_CA),
}, app).listen(PORT, () => {});

package.json

"setup:https": "openssl genrsa -out src/server/ssl/localhost.key 2048
&& openssl req -new -x509 -key src/server/ssl/localhost.key -out src/server/ssl/localhost.crt -config src/server/ssl/localhost.cnf
&& openssl req -new -out src/server/ssl/localhost.csr -config src/server/ssl/localhost.cnf
&& openssl x509 -req -in src/server/ssl/localhost.csr -CA src/server/ssl/localhost.crt -CAkey src/server/ssl/localhost.key -CAcreateserial -out src/server/ssl/ca.crt",

Используя localhost.cnf, как описано:

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = UK
ST = State
L = Location
O = Organization Name
OU = Organizational Unit 
CN = www.localhost.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.localhost.com
DNS.2 = localhost.com
DNS.3 = localhost