我创建了一个由私人根 CA 颁发的证书,以便我可以自动信任组织内部的自签名证书。
我采取的步骤在 Windows 上可以正确处理并自动信任,但在 iOS 上失败。
我生成的根证书的属性是:
Validity: 2024-06-06 thru 2124-05-31
Public Key: RSA, 4096bits
Signature algorithm: SHA-256 with RSA Encryption
Certificate version: 3
Certificate Authority: Yes
Path length: 2
Key Usages: Certificate Signing
生成的服务器证书的属性为:
Common name: <fqdn>
Validity: 2024-06-06 thru 2124-05-31 (100 years)
Subject alt names: <short name>, <fqdn>, <fixed IP address of server>
Public Key: RSA, 4096bits
Signature algorithm: SHA-256 with RSA Encryption
Certificate version: 3
Certificate Authority: No
Path length: 1
Key Usages: Digital Signature, Key Encipherment
Extended Usages: Server Authentication, Client Authentication
Certificate Policies: Certificate Type (2.23.140.1.2.1) [= Domain Validation]
我使用 OpenSSL 创建了所有密钥和证书,并在颁发之前使用 OpenSSL 验证了内容。我在 iOS 上安装根证书的步骤如下:
- 生成私钥
- 创建根证书(文件
ca.pem
) ca.pem
在 iOS 设备上下载- 在 iOS 设备上打开下载的文件
Settings
在 iOS 设备上打开- 选择
Downloaded profile
(或类似名称,适用于设置为荷兰语的设备) - 选择
Install
- 打开
Settings -> General -> Info
- 向下滚动并选择
Trust certificates
- 启用新安装的配置文件
当我转到 时Settings -> General -> VPN and device
,我可以看到新安装的配置文件,当我单击该配置文件时,我会看到权限已经验证。
然后我按照以下步骤创建一个新的服务器证书:
- 在服务器上创建 CSR
server.pem
使用服务器 CSR签署服务器证书server.pem
在服务器上安装证书
现在,当我在 Windows 服务器上打开网页时(我也安装了根证书),浏览器(Firefox 和 Edge)不会警告我有关不受信任的证书,并且会直接显示请求的网页。
然而在 iOS 上,Safari 会抱怨请求的网页不安全。
是不是我生成的证书的属性不正确?
作为参考,我还包括了使用 OpenSSL 生成密钥和证书的命令(其中pass.txt
包含用于保护证书的密码):
openssl genpkey -algorithm RSA -pass file:pass.txt -out ca-key.pem -pkeyopt rsa_keygen_bits:4096 -aes256
openssl genrsa -aes256 -passout file:pass.txt -out ca-key.pem 4096
openssl rsa -in ca-key.pem -check -noout -passin file:pass.txt
openssl req -new -x509 -sha256 -days 36500 -config ca_config.txt -passin file:pass.txt -key ca-key.pem -out ca.pem
openssl x509 -req -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server.pem -days 36500 -sha256 -extfile server_config.txt -passin file:pass.txt
@not2savvy 指出,问题出在服务器证书的有效期上。目前,Apple 的 Safari 不接受任何有效期超过 825 天的服务器证书。对于由全球根 CA 签名的服务器证书,有效期甚至限制为 397 天。