V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Zikinn
V2EX  ›  问与答

单从技术标准上讲,可以自签名出有效的 *.local 这类证书吗?

  •  
  •   Zikinn · 2023-02-10 13:57:44 +08:00 · 871 次点击
    这是一个创建于 687 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,准备把局域网内的服务也都开 https (为了那个锁头好看),想知道单从技术标准上讲,可以自签名出有效的 *.local 这类证书吗?

    6 条回复    2023-02-10 14:48:16 +08:00
    biabia123456
        1
    biabia123456  
       2023-02-10 14:05:17 +08:00
    可以试试 mkcert
    Zikinn
        2
    Zikinn  
    OP
       2023-02-10 14:10:35 +08:00 via iPhone
    @biabia123456 我用的 XCA ,允许签,只是单纯好奇浏览器认可不认可,一会儿我试试
    dynos01
        3
    dynos01  
       2023-02-10 14:21:45 +08:00
    手动把 CA 加到系统 CA 列表里就认,否则不认。
    leoleoleo
        4
    leoleoleo  
       2023-02-10 14:31:58 +08:00
    建议去了解一下 ca 证书以及 TLS 协议相关的原理。

    如果是使用标准的技术签发的证书,浏览器认不认只看签发证书的 ca 机构是否在浏览器的信任列表里,一般操作系统和浏览器默认都带有一个全球权威 CA 机构的列表,在这个列表里的 CA 机构签发的有效期的证书,并且证书内容和域名啥的一致,浏览器都会显示可信。

    你也可以把自己创建的 CA 机构证书导入到本地的信任列表里,这样子就行了。当然,大部分使用自签证书的人,会在浏览器报不可信时,直接选择信任继续访问就是了。
    cxh116
        5
    cxh116  
       2023-02-10 14:46:21 +08:00 via Android
    签不出,你过不了所有权验证。

    你公司的域名的子域名也可以指向内网 ip ,又没强制你一定要指向公网 ip 。
    Zikinn
        6
    Zikinn  
    OP
       2023-02-10 14:48:16 +08:00
    @leoleoleo
    @dynos01
    嗯嗯谢谢,刚刚试了下是可以的,Chrome 看系统的证书信任区,FireFox 用浏览器内置的 Mozilla 维护的证书信任区,加到本地信任区这个我知道,测试了下完全没问题,包括公网访问。

    > 其实之前写过一个文章,只是没测试过能不能直接签一个 TLD 这么玩 🤣
    > https://zikin.org/xca/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2729 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:37 · PVG 22:37 · LAX 06:37 · JFK 09:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.