Блог

Здесь машина laptop.mylocaldomain.net , в то время как dev — это запись CNAME, использующая псевдоним хоста ноутбука с локального DNS-сервера. Оба отвечают на запросы и дают тот же IP-адрес, что и ожидалось.

Будь то Firefox, Chrome или Edge, хотя, если я перейду к https://dev:8080 / при запуске в IIS с ноутбука с самозаверяющим сертификатом я получаю сообщение об ошибке Не подключался: потенциальная проблема безопасности и не могу подключиться к сайту, но если я использую https://dev.mylocaldomain.net:8080 / это тот же IP-адрес, скажем, я получаю предупреждение: Потенциальная угроза безопасности впереди, и я могу перейти на веб-сайт.

Также https://laptop:8080 / выдает то же предупреждение: Предупреждение о потенциальной угрозе безопасности впереди, и я могу перейти на веб-сайт. Только CNAME https://dev:8080 / не работает.

Сценарий создания сертификата:

 #/bin/sh
sudo openssl genrsa -out LocalDevelopmentCert.key 2048
sudo openssl req -new -key LocalDevelopmentCert.key -sha256 -days 3650 -out LocalDevelopmentCert.csr -config openssl.cnf
sudo openssl x509 -req -days 3650 -in LocalDevelopmentCert.csr -signkey LocalDevelopmentCert.key -out LocalDevelopmentCert.crt -extensions v3_req -extfile openssl.cnf
sudo openssl pkcs12 -name "Local Development IIS Cert" -export -out LocalDevelopmentCert.pfx -inkey LocalDevelopmentCert.key -in LocalDevelopmentCert.crt
  

Раздел Alt Names в openssl.cnf:

 [alt_names]
DNS.1 = *.mylocaldomain.net
DNS.2 = dev
IP.1 = 192.168.XXX.XXX # <- IP address of dev laptop
  

Я попытался установить CN для различных перестановок адресов, таких как dev, dev.mylocaldomain.net и т.д. Похоже, ни один из них не работает в браузерах.

Как я могу получить https://dev:8080 / работает?

ОБНОВЛЕНИЕ 1:

Раздел отчета о диагностике SSL Jesux Manager:

 BINDING: https *:8080:
SSLCertHash: b10671ac592ea5363db0a189fa72180d49ff1956
SSL Flags: None
Testing EndPoint: 127.0.0.1
Cannot find certificate with thumbprint b10671ac592ea5363db0a189fa72180d49ff1956 in store My.
  

В Windows 10 нет хранилища под названием «Мой». Я проверил каждое хранилище в MMC как для текущего пользователя, так и для локального компьютера, чтобы убедиться в отсутствии дубликатов.

Обновление 2:

Я использовал следующий метод для создания самозаверяющего сертификата, который сообщает, что работает в Jexus Manager, и его свойства показывают, что сертификат в порядке.

 #!/bin/sh
echo "
[req]
default_bits = 2048
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn

[dn]
C = MyCountry
ST = MyState
L = MyLocality
O = Local Org
OU = Local Org Unit
emailAddress = admin@mylocaldomain.net
CN = *.mylocaldomain.net

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = dev.mylocaldomain.net
DNS.2 = dev
DNS.3 = prod.mylocaldomain.net
DNS.4 = prod
DNS.5 = www
DNS.6 = laptop
DNS.7 = desktop
DNS.8 = localhost
">openssl.current.cnf

sudo openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout localcert.key -days 3650 -out localcert.crt -config openssl.current.cnf
sudo openssl pkcs12 -export -out localcert.pfx  -inkey localcert.key -in localcert.crt -name "Local Dev Certificate"
  

Он отлично работает как самозаверяющий сертификат Edge и Chrome, но не в Firefox. Требует ли Firefox, чтобы вы были вашим собственным центром сертификации для локальной разработки?