自签 IP 证书 OpenSSL:解决内网 HTTPS 无域名访问问题

原创 已于 2025-05-09 07:34:59 修改 · 1.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #https #网络协议

于 2025-04-27 17:26:14 首次发布

背景

使用WebRTC需要SSL证书,所以我们需要在局域网自签SSL证书。

在 SSL/TLS 证书体系中,IP 地址证书(即证书主题中包含 IP 而非域名)是一种特殊类型的证书,适用于直接通过 IP 地址访问的服务(如内网 API、IoT 设备等)。

windows service 系统

前提准备

下载openssl

电脑需要安装openssl

下载地址:Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions

找到下图圈的下载,版本不重要,选对Win64 OpenSSL,不要选Light

 

安装openssl

提示这个就是缺失环境,弹出的网站自动下载安装就好了

 

一路下一步就行

 

出现这个就完成了

 

配置环境变量

windows搜索打开,输入环境,选择编辑账户的环境变量

 

选中这行点击编辑

 

点击新建

如果是默认安装,路径是:C:\Program Files\OpenSSL-Win64\bin

如果你自己选择了安装路径,根据实际情况填写就好了

 

脚本

一键生成脚本,根据需要修改《配置区域(根据实际修改)》

生成的证书会保存在CERT_DIR配置的路径中

@echo off
setlocal enabledelayedexpansion

:: =============================================
:: 全自动证书生成脚本
:: =============================================
title 全自动证书生成工具 v3.0

:: 配置区域(根据实际修改)
set "CERT_DIR=D:\Progra~2\SRS\cert"
set "CA_NAME=Srs Root CA"
set "SERVER_CN=192.168.19.103"
set "DAYS=3650"

:: 文件路径
set "CA_KEY=%CERT_DIR%\ca-key.pem"
set "CA_CRT=%CERT_DIR%\ca-crt.pem"
set "CA_CRT_DER=%CERT_DIR%\ca-crt.der"
set "CA_CRT_CRT=%CERT_DIR%\ca-crt.crt"
set "SERVER_KEY=%CERT_DIR%\server.key"
set "SERVER_CSR=%CERT_DIR%\server.csr"
set "SERVER_CRT=%CERT_DIR%\server.crt"
set "CHAIN_PEM=%CERT_DIR%\chain.pem"

:: 检查OpenSSL
where openssl >nul 2>&1 || (
    echo [错误] OpenSSL未安装或未加入PATH
    echo 请安装OpenSSL并添加至系统PATH
    pause
    exit /b 1
)

:: 创建目录
if not exist "%CERT_DIR%" (
    mkdir "%CERT_DIR%"
    if errorlevel 1 (
        echo [错误] 无法创建目录 %CERT_DIR%
        pause
        exit /b 1
    )
)

:: 生成CA配置文件(关键修复1:完整DN配置)
(
echo [req]
echo distinguished_name = dn
echo req_extensions = v3_ca
echo prompt = no
echo.
echo [dn]
echo C = CN
echo ST = Zhejiang
echo L = Zhuji
echo O = Jws
echo OU = Jws
echo CN = %CA_NAME%
echo emailAddress = jws@jws.com
echo.
echo [v3_ca]
echo basicConstraints = critical,CA:TRUE,pathlen:0
echo keyUsage = critical,keyCertSign,cRLSign
echo subjectKeyIdentifier = hash
) > "%CERT_DIR%\ca.cnf"

:: 1. 生成CA证书(完全自动化)
echo 正在生成CA根证书...
openssl req -x509 -newkey rsa:4096 -days %DAYS% -nodes ^
    -config "%CERT_DIR%\ca.cnf" ^
    -keyout "%CA_KEY%" ^
    -out "%CA_CRT%" ^
    -extensions v3_ca >nul 2>&1

if not exist "%CA_CRT%" (
    echo [错误] CA证书生成失败!
    goto CLEANUP
)

:: 2. 生成多平台格式
openssl x509 -in "%CA_CRT%" -outform DER -out "%CA_CRT_DER%" >nul 2>&1
openssl x509 -in "%CA_CRT%" -out "%CA_CRT_CRT%" -outform PEM >nul 2>&1

:: 3. 生成服务器配置文件(关键修复2:独立配置)
(
echo [req]
echo distinguished_name = dn
echo req_extensions = v3_req
echo prompt = no
echo.
echo [dn]
echo C = CN
echo ST = Zhejiang
echo L = Zhuji
echo O = Jws
echo OU = Jws
echo CN = %SERVER_CN%
echo emailAddress = jws@jws.com
echo.
echo [v3_req]
echo basicConstraints = CA:FALSE
echo keyUsage = digitalSignature,keyEncipherment
echo extendedKeyUsage = serverAuth
echo subjectAltName = IP:%SERVER_CN%
) > "%CERT_DIR%\server.cnf"

:: 4. 生成服务器证书(完全自动化)
echo 正在生成服务器证书...
openssl req -new -newkey rsa:2048 -nodes ^
    -config "%CERT_DIR%\server.cnf" ^
    -keyout "%SERVER_KEY%" ^
    -out "%SERVER_CSR%" >nul 2>&1

if not exist "%SERVER_CSR%" (
    echo [错误] CSR生成失败!
    goto CLEANUP
)

openssl x509 -req -days %DAYS% ^
    -in "%SERVER_CSR%" ^
    -CA "%CA_CRT%" ^
    -CAkey "%CA_KEY%" ^
    -CAcreateserial ^
    -out "%SERVER_CRT%" ^
    -extensions v3_req ^
    -extfile "%CERT_DIR%\server.cnf" >nul 2>&1

if not exist "%SERVER_CRT%" (
    echo [错误] 服务器证书生成失败!
    goto CLEANUP
)

:: 5. 生成证书链
type "%SERVER_CRT%" "%CA_CRT%" > "%CHAIN_PEM%"

:: 自动导入到本机(Windows)
echo 正在自动导入CA证书...
certutil -f -addstore "Root" "%CA_CRT_DER%" >nul 2>&1

:: 显示结果
echo.
echo ============== 生成成功 ==============
echo [CA证书]
echo Windows安装: %CA_CRT_DER%
echo Android安装: %CA_CRT_CRT%
echo.
echo [服务器证书]
echo 私钥: %SERVER_KEY%
echo 证书: %SERVER_CRT%
echo 证书链: %CHAIN_PEM%
echo.
echo [验证命令]
echo openssl verify -CAfile "%CA_CRT%" "%SERVER_CRT%"
echo.

:CLEANUP
del "%CERT_DIR%\ca.cnf" 2>nul
del "%CERT_DIR%\server.cnf" 2>nul
del "%CERT_DIR%\.srl" 2>nul
pause

把上方代码复制到txt文档,修改后缀名为bat

 

然后就是双击666我的宝贝,出现下方界面就算成功

 

去CERT_DIR就可以看到证书文件了

博客地址:自签 IP 证书 OpenSSL:解决内网 HTTPS 无域名访问问题-JavaLYG

 

openssl内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 1万+
openssl内网IP生成ca证书(ssl证书)
如何生成IP地址的自证书
全栈工程师,热爱编程,喜欢探索各种技术栈。分享前端、后端、数据库等技术学习心得,以及在项目开发中的实践经验。
10-11 1715
生成一个用于特定IP地址的自证书是一个相对直接的过程。自证书通常用于开发测试环境,而不是生产环境,因为它们不是由受信任的证书颁发机构(CA)署的。
内网使用openssl证书开启https连接,同时解决chrome浏览器中的不安全访问
热门推荐
my_interface的博客
01-05 1万+
1、在内网中开启https访问,使用ip,请直接看第二步。如果是外网域名的话,建议直接去从 阿里云或者其他的网站中直接用权威机构颁发的证书。地址 2、请先安装OpenSSL 3、生成证书 创建根证书 新建anxinCA.cnf文件并输入以下内容: [ req ] distinguished_name = req_distinguished_name x509_extensions = root_ca [ req_distinguished_name ] # 以下内容可随意填写 .
openssl 生成自证书步骤
最新发布
BUG_MeDe的博客
11-18 981
本文介绍了使用OpenSSL生成自证书的两种方法。方法一仅生成根证书和密钥,包括创建私钥、生成证书请求和自证书三个步骤。方法二通过根证书进一步发服务器端和客户端证书,为每个终端生成独立的密钥和证书文件。文中详细说明了各步骤的命令参数及交互过程,包括密钥长度选择、有效期设置等注意事项,并提供了查看证书信息的命令示例。建议在实际应用中采用更安全的SHA-256算法替代SHA-1,同时强调自证书仅适用于测试环境。
5分钟带你看懂内网IP证书
lq08241128的博客
07-09 1579
内网IP证书是保障企业数据安全的“隐形护盾”,它解决内网通信中的加密和信任问题,尤其适合对安全性要求高的行业(如金融、医疗、制造业)。通过合理部署,企业可在不牺牲用户体验的前提下,实现内网环境的全面防护。在数字化办公日益普及的今天,企业内网的安全性成为保障业务连续性的关键。然而,许多人可能对“内网IP证书”这一概念感到陌生。现代浏览器(如Chrome、Edge)对非加密的HTTP连接会标记为“不安全”,甚至直接拦截。,专门用于加密和验证内网(如企业局域网、私有云)中基于IP地址(如。
使用自签证书利用浏览器进行HTTPS接口的安全访问
卡卡尔的专栏
02-08 9191
HTTPS的基本工作原理想必对于许多开发者来说是非常熟悉的了,还不是太熟悉的同学一起先看一下HTTP常见的八股文中的描述以及如何让浏览器信任我们的自签证书,实现https安全连接
使用IP名SSL证书
witton的专栏
12-12 1262
最近需要创建WebSocket服务器并使用SSL证书,由于是内网测试,所以需要使用指定IP的自SSL证书
基于ip地址通过openssl生成自证书
最美dee时光的博客
12-22 3361
最近在配置geo的时候,客户说自己使用的是自签证书,然后是通过ip地址和端口的方式访问gitlab,比较好奇这块,因此对证书的生成和使用做了一些整理,对此网上关于这部分资料也很多,不过作为记录,也算是自己的部分实践。
ip名ssl证书
weixin_50512016的博客
03-05 4458
适用于内网ip发自证书
在windows 下用openssl 实现内网HTTPS
jhycjhyc的专栏
08-12 921
上法生成的pfx在windows server 2016 上无法使用,导入时始终提示密码不正常,据说在2019上可以使用。内网使用openssl证书开启https连接,同时解决chrome浏览器中的不安全访问。导入pfx到IIS Windows Server 2016 -指定的网络密码不正确。在windows客户端导入ca.cer,将正常使用。# 域名,如有多个用DNS.2,DNS.3…在iis 上使用时必须转换为pfx.增加参数如下后可以正常使用。
Tips-自SSL证书(适用于内网IP
ZZHow Blog
07-26 879
本文详细介绍了使用OpenSSL为Nginx创建自证书实现HTTPS安全访问的完整步骤。主要内容包括:1)创建CA根证书和私钥;2)生成服务器证书私钥和CSR;3)使用根证书发服务器证书;4)配置证书扩展信息(如域名/IP、密钥用途等);5)最终证书验证方法。通过openssl命令生成有效期10年的证书,并特别强调了CN字段必须与服务器域名/IP一致,否则证书无效。该指南适用于需要快速搭建HTTPS测试环境的开发者,提供了一条完整的证书发链方案。 写于2025/04/16
内网使用自签证书搭建https服务器
zetor的专栏
08-13 1万+
1.生成证书 因为是内网环境,所以自证书即可,也是免费的。如果是外网环境,请使用云服务商提供的证书。 本文主要介绍内网,使用ip访问的系统,配置https服务器; 创建配置文件 openssl.cnf: [req] distinguished_name = req_distinguished_name req_extensions = v5_req [req_distinguished_name] countryName = Country Name (2 l...
CISCO SG250 交换机HTTPS内网IP域名混合证书openssl制作教程
醉陌浮生,乱谜浊
11-30 1971
证书这玩意儿就是坑,放到CISCO上。天坑! 国外大佬教程版本: https://severehalestorm.net/?p=54 感谢上天这个大佬指点,再度吐槽CISCO的官方文档就是一坨粑粑。 成果截图: 正文开始。。。 1.生成自名根秘钥 openssl genrsa -out LocalRootCA.key 2048 2.生成自名根证书 openssl req -sha256 -new -nodes -x509 -days 3650 -key LocalRootCA.key -out
OpenSSL-基于IP域名生成自证书脚本
念舒C.ying
05-15 4098
创建自证书,在执行此命令时,您可以使用-days选项来指定证书的有效期。在上述示例中,证书的有效期为10年(3650天)。如果您想要更长期的有效期,可以将该值增加
OpenSSL证书
爱喝星冰乐的博客
05-28 1562
OpenSSL自签证书
ip 自签证书
小胡子
01-06 1195
ip证书出现“No subject alternative names present” 异常解决
使用openssl创建多泛域名IP的自证书
qq1091606981的专栏
01-06 2747
使用openssl创建多泛域名IP的自证书
IP证书给IIS使用全流程,纯干货
weixin_44858074的博客
12-25 333
其中密码和IP自定义。
docker私有registry自证书使用IP地址
zzb7728317的博客
02-14 498
Error response from daemon: Get https://xx.xx.xx.xx:5000/v2/: x509: cannot validate certificate for xx.xx.xx.xx because it doesn't contain any IP SANs.该怎么解决啊 下面的方法,试过不行啊! 解决方法:修改/etc/pki/tls/open...
在linux alphine通过certbot配置内网证书,通过ip访问https网页
07-16
我们正在使用Alpine Linux,并且需要通过Certbot为内网IP地址配置HTTPS证书。注意,Certbot默认要求域名,但我们可以使用IP地址的TLS证书(例如,通过ZeroSSL等支持IP的CA)。以下是步骤: 1. **安装Certbot**: ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lsetea

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值