自制（IP或域名）可信任的SSL证书，适用360、chrome等浏览器

更新：2025-03-19 09:15:53

人气：58

来源：本站原创

A+

之前发了几篇关于自制本地SSL证书放在apache下，但本地测试发现自制的SSL证书在浏览器中是不可信任的，即使导入到“受信任的根证书颁发机构”也不行，更别说模拟个域名或是直接用IP制作证书了。

今天分享一个方法，已经成功的示例，前提是自己已经安装过OPENSSL了。

CMD进入到C盘根目录，即：cd C:\，提前准备好private.ext，也放到此目录下，private.ext内容为：

[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = san
extensions          = san
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = BeiJing
localityName        = BeiJing
organizationName    = BJTLJDX
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = IP:10.64.34.147

其中以下需要按需修改：
stateOrProvinceName 代表省份
localityName 城市
organizationName 组织名/公司名字（原创：李雷博客 http://www.mdaima.com）
subjectAltName 必须与上一步的地址一一对应。

如果为 IP则为：subjectAltName = IP:10.64.34.147
如果为 域名则为：subjectAltName = DNS:mdaima.com

WINDOWS系统下，用IP制作SSL证书：（逐行执行）

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl genrsa -out private.key 2048

openssl req -new -key private.key -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX/CN=10.64.34.147" -sha256 -out private.csr -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl x509 -req -days 36500 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

WINDOWS系统下，用域名制作SSL证书：（逐行执行）

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl genrsa -out private.key 2048

openssl req -new -key private.key -subj "/C=CN/ST=BJ/L=BJ/O=BJTLJDX/CN=dangxiao.it" -sha256 -out private.csr -config "D:\WebServer\Apache24\conf\openssl.cnf"

openssl x509 -req -days 36500 -in private.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

最后将private.key、private.csr、private.crt三个文件放到D:\WebServer\Apache24\conf\ssl目录下（根据自己情况修改），我习惯将3个文件更名为ssl，即ssl.key、ssl.csr、ssl.crt。

切记，如果是用的IP或模拟的域名，要将CA.crt发放给用户，自行安装，导入到“受信任的根证书颁发机构”即可，记住一定是CA.crt发给用户，不是private.crt。

提示一下：/O=BJTLJDX为自己拟定的颁发机构，自己修改即可，下图为生成后的文件样式。（原创：李雷博客 http://www.mdaima.com）

转载请注明：自制（IP或域名）可信任的SSL证书，适用360、chrome等浏览器 | 李雷博客 - PHP博客

推荐的文章

十天学会PHP之第五天

Navicat提示激活失败: 激活次数达到上限，无法手动激活

Win10 Mysql8初始密码丢失，初始化又不显示密码

CSS让指定的DIV元素或图片闪烁

# 发表我的评论

字数统计

/ /

# 最近评论

暂时还没有评论，要不要说点什么？

Ads by Google

随手记

PHP经验分享

联系博主

Hello，本博客系统采用PHP和MySql开发，程序开发完全是因为个人爱好，是自己纯手写PHP源代码，未采用任何PHP框架！

QQ：858353007 微信号：lileihot123

标签：PHP技术博客 PHP经验分享

网站地图 XML地图随手记本站声明博客移动版	会员服务 PHP经验分享帮助中心	关于我们联系我们获取积分 QQ：858353007	广告服务广告优势付款方式 mdaima@126.com	加我微信	移动端访问


Copyright © 2014- 2025 www.mdaima.com All Rights Reserved. 李雷博客，专注PHP经验、PHP教程及PHP源代码开源下载分享的PHP博客！ ICP备案号：京ICP备10202169号-4