自简书发布的上篇《生成本地测试用https证书,支持通配符和多域名,初学OpenSSL》以来,本地测试用https用的妥妥的。javascript
线上一直用的腾讯云的免费证书(每一个域名都要一个证书(滑稽),今天线上用的通配符证书也搞定了,实现了一个证书包含多个域名(多个泛域名)。html
2019-10-8 更新:添加对gethttpsforfree网页中全部RSA签名进行自动签名,提供的自动签名代码在下面。java
今年(2018)年初Let’s Encrypt已开放了通配符证书的申请《Wildcard Certificates Coming January 2018》,目前只支持经过dns解析进行验证。没有通配符的证书时在内心感受用起来会很累,一直没有去尝试。之前AlphaSSL的通配符证书却是能够免费申请,assl.loovit.net都已经跳转到别的地方了。如今能够勇敢的去用Let’s Encrypt的通配符证书了。git
官方并无简单易用的客户端
申请环境:本地(线上不乱搞),win7+Win32OpenSSLgithub
Let’s Encrypt提供的客户端列表包括开源实现《ACME Client Implementations》,电脑上能装上的基本上都试了一下(捆绑生产环境的软件不鸟),好几个依赖高版本的.Net(勉为其难的装了一下),始终没搞懂怎么耍,入门到放弃。而后用C#调用了一个封装好的接口试了一下,目测工做量也不小,入门到放弃。web
《Let’s Encrypt 使用吐槽》这里面说的比较赞同的一点这才是你真正须要的 acme-client ,只干申请证书这一件事的脚本。哈哈,其实发现申请证书只是简单的调用几个api.letsencrypt.orgRESTful接口,而且都含有响应头Access-Control-Allow-Origin:*,就不去研究他们的文档了,由于翻了通常官网,并无发现哪里有这种直接了当的文档。api
Let’s Encrypt提供的网页客户端列表中的Get HTTPS for free https://gethttpsforfree.com/就是直接使用的接口,这个网站声称This website is static, so it can be saved and loaded locally. Just right-click and "Save Page As.."! 查看代码确实是一个静态网站。其余几个网页客户端也稍微试了一下,有些要注册还主动帮你管理证书(不鸟)。其实一个静态网页也可以实现证书的申请,还不用下载安装各类环境,比较靠谱。浏览器
使用Get HTTPS for free申请证书
地址https://gethttpsforfree.com/ 这个页面使用起来很方便,由于该提示的地方都有提示,按照提示作没有压力,顺利申请到了两个域名合在一块儿的证书。app
主要要手动作的事情:dom
- 建立两个秘钥,一个帐户秘钥,一个域名证书秘钥(2048位,这个网站写4096位感受有点大,百度和Let’s Encrypt都是2048位)
- 建立证书申请请求
- 屡次进行文本内容签名(用帐户秘钥)
*. 申请好的证书制做成pfx文件导入IIS (我用IIS是要这一步的)
这些步骤均可以用脚本去处理,点一下->复制粘贴,手动也不比自动差(其实也没有便捷的全自动,dns验证仍是要手动写入TXT记录)
使用到的脚本
下面这些文件所有是在同一个文件夹里面: 1.建立秘钥.cmd,2.生成请求.ini,2.生成请求.cmd,3.签名.cmd,3.签名.txt,4.导出.cmd
文件名:1.建立秘钥.cmd
@echo off set /p isSet=建立秘钥会覆盖现有秘钥,肯定要建立吗?(y) if not "%isSet%"=="y" goto end echo 建立帐户秘钥 openssl genrsa -out key.account.private 2048 openssl rsa -in key.account.private -pubout -out key.account.public echo 建立证书秘钥 openssl genrsa -out key.domain.key 2048 :end echo 结束 pause
文件名:2.生成请求.ini 这个文件是OpenSSL安装目录中的配置文件,copy过来改一下名字就好了,而后在文件结尾添加下面内容,域名本身加(泛解析的要把一级域名加上,不加他们会不会自动加不知道,目测不会自动加)
[ ext ] subjectAltName = @dns [ dns ] DNS.1 = baidu1.com DNS.2 = *.baidu1.com DNS.3 = baidu2.com DNS.4 = *.baidu2.com
文件名:2.生成请求.cmd
@echo off set /p isSet=须要先配置域名列表"2.生成请求.ini",配置好了吗?(y) if not "%isSet%"=="y" goto end echo 生成请求 openssl req -new -sha256 -key key.domain.key -out domain.csr -subj "/" -reqexts ext -config 2.生成请求.ini :end echo 结束 pause
文件名:3.签名.cmd
@echo off set /p isSet=须要先写入"3.签名.txt",写好了吗?(y) if not "%isSet%"=="y" goto end openssl dgst -sha256 -hex -sign key.account.private 3.签名.txt :end echo 结束 pause
文件名:3.签名.txt 这个文件是一个空文件,到时候有须要签名的数据复制进来运行一下签名.cmd就能快速得到签名。
文件名:4.导出.cmd
@echo off echo 导出pfx,请输入密码1 pause openssl pkcs12 -export -out domain.pfx -inkey key.domain.key -in domain.crt :end echo 结束 pause
申请制做过程
- 全部文件准备好后(尤为是
2.生成请求.ini把域名配置好),直接运行1.建立秘钥.cmd,而后直接运行2.生成请求.cmd。 - 把生成的
key.account.public填入网页Account Public Key中。 - 把生成的
domain.csr填入网页Certificate Signing Request中。 - 根据网页提示签名请求,每次签名的时候:把文本复制到
3.签名.txt(只要引号里面的文本内容,其余内容删除),而后运行3.签名.cmd获得签名,把RSA-SHA256(3.签名.txt)= XXXXX复制到网页对应位置。 - 根据提示设置域名dns TXT解析,并完成验证。
- 把最后一步生成的证书内容所有复制到新建的文件
domain.crt中,域名证书就获取成功啦。 - 额外的生成IIS用的pfx文件,运行一下
4.导出.cmd设置一下密码就好了,我提示输入1做为密码,是由于我懒(滑稽。
秀一波
自动签名
我使用了 fszlin/certes 来编写了一个C#客户端用来申请多域名证书,但常常操做到最后这个库总是抛出申请错误信息,无奈每次手动用gethttpsforfree都能一次性完成申请。因此我就准备丢弃certes,仅仅使用gethttpsforfree。
但gethttpsforfree每次签名最繁琐的就是RSA签名部分,复制来复制去,因为前段时间在个人H5录音库xiangyuecn/Recorder内实现了一个RSA签名功能,所以直接拿过来给gethttpsforfree安装上了自动签名功能。
我给gethttpsforfree的github把这个功能提交了一个issue(他们家关闭了wiki),做者就来了一句SPAM。哈哈哈,本身好用就好,该作的我都作了,结果我才无论。https://github.com/diafygi/gethttpsforfree/issues/164 里面有详细的自动签名介绍。
自动签名操做步骤:
- 打开 https://gethttpsforfree.com/页面。
- 复制下面的代码到浏览器控制台里面执行。
- 按页面中的正常流程操做,填写好私钥,中途全部签名操做都会自动完成。
(function(){
var privateSign=function(txt){
//Signature
try{
var key=document.querySelector(".privateSignKey").value.replace(/-+.+?PRIVATE.+?-+|\s/g,"");
var byts=Base64.decode(key);
var asn1=ASN1.decode(byts);
if(asn1.sub.length<9){//PKCS#8
asn1=asn1.sub[2].sub[0];
};
var get=function(n){
var item=asn1.sub[n];
var start = item.stream.pos+item.header;
var end = item.stream.pos+item.header+item.length;
var hex = item.stream.hexDump(start, end);
hex=hex.replace(/\s/g,"");
hex=hex.replace(/^00/g,"");//type=02 INTEGER:Remove the highest bit-filled 0x00
return RSA.HexToB64(hex);
};
var n=get(1);
var e=get(2);
var d=get(3);
var rsa=RSA(n,e,d);
var sign=rsa.sign(txt,"SHA256");
if(!rsa.verify(txt,sign,"SHA256")){
alert("private key seems to be wrong!");
return "";
};
return RSA.B64ToHex(sign);
}catch(e){
console.error(e);
alert("private key parse error!");
return "";
}
};
var install=function(){
HTMLInputElement.prototype._setAttribute=HTMLInputElement.prototype.setAttribute;
HTMLInputElement.prototype.setAttribute=function(k,v){
var This=this;
This._setAttribute.apply(This,arguments);
if(!(k=="placeholder"&&v==RESULT_PLACEHOLDER)){
return;
};
var signExec=function(){
var find=This.parentNode.querySelectorAll("input");
var arr=[];
for(var i=0;i<find.length;i++){
if(find[i].value.indexOf("openssl")+1){
arr.push(find[i]);
};
};
if(arr.length!=1){
alert("no input box for signature was found!");
return;
};
This.value=privateSign(/"(.+)"/.exec(arr[0].value)[1]);
};
setTimeout(signExec,100);
//blur exec
This._setAttribute(k,"blur retry autofill sign. "+v);
if(!This.isBindSignExec){
This.isBindSignExec=true;
This.addEventListener("blur",function(){
if(This.value==""){
signExec();
};
});
};
};
var div=document.createElement("div");
div.innerHTML=`
<div class="field">
<div style="color:#0b1">Account Privete Key (RSA PKCS#1 or PKCS#8) (It's just for signature!):</div>
<textarea class="privateSignKey" placeholder="-----BEGIN RSA PRIVATE KEY----- OR -----BEGIN PRIVATE KEY----- ..."></textarea>
</div>
`;
validate_account.appendChild(div);
};
var script=document.createElement("script");
script.src="https://xiangyuecn.github.io/Recorder/assets/ztest-rsa.js";
script.onload=function(){
setTimeout(function(){
install();
},1000);//emmm... doc was ready
};
document.querySelector("head").appendChild(script);
})();