如何使用 OpenSSL 建立開發測試用途的自簽憑證 (Self-Signed Certificate)

1. 建立 ssl.conf 設定檔

[req]
prompt = no
default_md = sha256
default_bits = 2048
distinguished_name = dn
x509_extensions = v3_req

[dn]
C = TW
ST = Taiwan
L = Taipei
O = My Inc.
OU = IT Department
emailAddress = admin@example.com
CN = CA Disaplay Name

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.localhost
DNS.2 = localhost
DNS.3 = *.your.domain.name
DNS.4 = 192.168.1.100

2. 透過 OpenSSL 命令產生出自簽憑證與相對應的私密金鑰
openssl req -x509 -new -nodes -sha256 -utf8 -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt -config ssl.conf
3. 透過 OpenSSL 命令產生 PKCS#12 憑證檔案 (*.pfx 或 *.p12), IIS才需要
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
4. 匯入自簽憑證到 WINDOWS 憑證 「受信任的根憑證授權單位」

 Windows 請以「系統管理員身分」執行以下命令,即可將憑證匯入到 Windows 的憑證儲存區之中:
certutil -addstore -f "ROOT" server.crt

 若要以手動方式匯入,可以參考以下步驟:
  • 開啟檔案總管,並滑鼠雙擊 server.crt 檔案
  • 點擊「安裝憑證」按鈕
  • 選取「目前使用者」並按「下一步」繼續
  • 選取「將所有憑證放入以下的存放區」並按下「瀏覽」按鈕
  • 選取「受信任的根憑證授權單位」並按下「確定」
  • 按「下一步」繼續
  • 按「完成」繼續
  • 在 安全性警告 視窗按下「是(Y)」即可完成設定

請注意:在匯入完成後 Google Chrome 瀏覽器可能不會立刻顯示這是個有效憑證 (因為快取的關係),但你只要過一段時間重開 Chrome 瀏覽器,即可看見網址列的變化,不會再出現紅色不安全的提示。

參考文章:

 The Will Will Web ( 感謝保哥分享 )

 https://blog.miniasp.com/post/2019/02/25/Creating-Self-signed-Certificate-using-OpenSSL