自签 CA 证书和服务器 IP 证书有什么要注意的？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

This topic created in 1692 days ago, the information mentioned may be changed or developed.

尝试着自签了一个 CA 和一个服务器证书，因为是要放到好几台小鸡上的，我就这样签的：

authorityKeyIdentifier = keyid,issuer

basicConstraints = CA:FALSE

keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, cRLSign, keyCertSign

subjectAltName = @alt_names

[alt_names]

IP.1 = 1.2.3.4

IP.2 = 2.2.2.2

IP.3 = 3.3.3.3

IP.4 = 4.4.4.4

IP.5 = 5.5.5.5

DNS.1 = aaa.com

DNS.2 = ×.aaa.com

自签的证书在我的 TLS 隧道上可以用，感觉还比之前通过可信 CA 签发的域名证书去连接的还快一点点。但是网页就不行，打开就显示 ERR_CONNECTION_REFUSED

有哪些地方该检查的？

证书

DNS

1.2.3.4

小鸡

5 replies • 2021-10-01 10:54:47 +08:00

ryd994

Sep 19, 2021 via Android

connection refused 是 443 端口没开。检查你的服务器软件配置。
如果是证书问题的话应该是 ssl handshake failure

cathedrel

Sep 19, 2021 via Android

@ryd994 不是 443 端口，是 webmin 的默认 10000 号端口，又是内网机器，通过端口映射访问的，加载 ssl 证书就不行，修改 /etc/webmin/config 把“ssl=1”的 1 删除再重启 webmin 就又能 http 访问了……

iBugOne

Sep 19, 2021 via Android

你看看服务器软件的 log 有没有吐槽证书有问题，我有一次 nginx 挂了就是证书签得不对

cathedrel

Sep 20, 2021

@iBugOne 后来发现是哪里不对的？

BitCert

Oct 1, 2021

可以申请公网的 IP 证书