WINDOWS HAZİRAN / 2017 Windows Server 2012
@Brad Parks cevabını takip ettim. Windows'ta, rootCA.pem dosyasını Güvenilen Kök Sertifika Yetkilileri deposuna almanız gerekir.
Aşağıdaki adımları uyguladım:
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext
V3.ext nerede:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1
Sonra, benim durumumda bir kendi barındırılan web uygulaması var, bu yüzden IP adresi ve bağlantı noktası ile sertifika bağlamak gerekir, sertifika özel anahtar bilgileri ile benim mağazada olmalıdır, bu yüzden pfx formatına ihraç.
openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt
Mmc konsolu ile (Ek Bileşenleri Ekle / Kaldır / Sertifikalar / Ekleme / Hesaplama Hesabı / YerelBilgisayar / Tamam) Kişisel mağazaya pfx dosyasını aktardım.
Daha sonra sertifikayı bağlamak için bu komutu kullandım (HttpConfig aracını da kullanabilirsiniz):
netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}
certhash = Sertifika Düzeni
appid = GUID (seçiminiz)
İlk önce Güvenilen Kök Sertifika Yetkililerinde "device.crt" sertifikasını farklı yollarla almaya çalıştım ama yine de aynı hatayı alıyorum:
Ancak etki alanı için sertifika değil, kök yetki sertifikası almam gerektiğini fark ettim. Bu yüzden mmc konsolu kullandım (Ek Bileşenleri / Sertifikaları Ekle / Kaldır / Sertifikalar Ekle / Hesapla / YerelBilgisayar / Tamam) Güvenilen Kök Sertifika Yetkilileri deposuna rootCA.pem dosyasını içe aktardım.
Chrome'u yeniden başlatın ve işe yaradı.
Localhost ile:
Veya IP adresiyle:
Ulaşamadığım tek şey, eski şifre (resimde kırmızı kare) olmasıdır. Yardım bu noktada takdir edilmektedir.
Makecert ile SAN bilgisi eklemek mümkün değildir. New-SelfSignedCertificate (Powershell) ile SAN bilgileri ekleyebilir, ayrıca çalışır.