Créez votre propre autorité de certification SSL pour le développement https local
En 2018, Google a commencé à préconiser le cryptage https pour les sites Web, marquant les sites Web qui n’utilisent pas de certificats SSL comme « dangereux » dans son navigateur Chrome. Cela a été largement accepté comme une bonne idée parce que la sécurité du trafic web protège les propriétaires de sites Web et leurs clients. Bien que le cryptage Let’s et son API permettent à n’importe qui de générer et d’installer facilement des certificats SSL sur son serveur, il n’aide guère les développeurs à utiliser https dans leur environnement de développement. Créer un certificat SSL local pour servir votre site de développement via https peut être une entreprise complexe. Même si vous pouvez générer un certificat auto – signé, une erreur de confidentialité du navigateur se produit.
Dans cet article, nous expliquerons comment créer une autorité de certification (AC) pour un serveur local afin que vous puissiez exécuter le site https localement sans aucun problème. Pourquoi utiliser https localement? Comment devenir une (petite) autorité de certification pour installer un certificat racine pour votre site de développement créer un certificat signé par l’AC script Shell conclusion de rechange si vous préférez apprendre intuitivement, notre fabricant de vidéos Thomas a créé une vidéo pour vous décrivant les étapes nécessaires à la création d’une ac locale.
Par exemple, l’environnement de développement de mon site (et spinupwp) fonctionne comme un serveur ubuntu dans une machine virtuelle VMware (VM) sur Mac. Le site de production est un serveur Ubuntu fonctionnant sur Digital Ocean avec une configuration presque identique. Vous voulez absolument que votre environnement de développement reflète la plus grande confiance dans la production
C’est aussi possible. Sinon, vous inviterez plusieurs questions qui apparaissent dans la production et qui ne sont pas affichées dans le processus de développement. Exécuter http lorsque le site de production est uniquement https est certainement un risque inutile. Même si vous ne pouvez pas parfaitement refléter votre environnement de production, vous devez toujours exécuter https localement, ou vous devez lutter contre les alertes SSL à contenu mixte toute la journée.
Si vous avez déjà essayé de naviguer sur un site local en utilisant https et que https n’a pas de certificat SSL configuré, vous pouvez voir le message suivant dans Chrome:
La recherche en ligne d’une solution SSL locale vous plonge souvent dans le trou du lapin d’un certificat auto – signé. Cependant, si vous n’utilisez pas l’outil qui gère les certificats SSL auto – signés pour vous, essayer d’obtenir des certificats SSL auto – signés qui sont utilisés avec le serveur local est mauvais, ce qui vous ramène à la nécessité de changer l’environnement de développement local. Le principal problème avec les certificats auto – signés locaux est que les navigateurs doivent également leur faire confiance. Il ne suffit pas de configurer uniquement les certificats auto – signés locaux. Vous finirez par recevoir le même message que votre navigateur, mais cette fois Err _ CERT Authority invalid apparaîtra. C’est parce que le navigateur veut vérifier la validité de ce certificat auprès de l’autorité de certification, mais il ne peut pas le faire. La solution est donc de devenir votre AC!
Comment demander
Mais il sera plus facile de trouver la clé plus tard. MkDir ~ \/ certs CD ~ \/ certs avec cette configuration, nous pouvons générer une clé privée pour devenir une ac locale:
OpenSSL genre – des3 – Output myca. La clé 2048 OpenSSL exigera une phrase de passe que nous vous recommandons de ne pas sauter et d’assurer sa sécurité. La phrase de passe empêchera toute personne qui obtient votre clé privée de générer son propre certificat racine. La sortie doit être la suivante: génération de la clé privée RSA, 2048 bits long module Sujet du poste: Re: re. Clé: vérifier – Entrez la phrase de passe de myca. Key: ensuite, nous générons un certificat racine: OpenSSL req – x509 – New – Nodes – Key myca. Key – sha256 – Days 1825 – out myca. Le système PEM vous invite à entrer la phrase de passe et une série de questions pour la clé privée que vous venez de sélectionner. Les réponses à ces questions sont moins importantes. Quand vous voyez les certificats, ils apparaissent et vous ne les voyez presque jamais. Je recommande que les noms communs soient identifiés comme des certificats racine dans d’autres listes de certificats. C’est ce qui compte vraiment.
Saisissez la phrase de passe de myca. Clé: vous devrez entrer les renseignements à inclure dans votre demande de certificat. Vous entrez un nom appelé Distinguished Name ou dn. Il y a beaucoup de champs, mais vous pouvez laisser un peu d’espace vide pour certains. Si vous saisissez \
Mais la bonne nouvelle, c’est qu’on n’a besoin de le faire qu’une seule fois. Notre certificat racine restera valide jusqu’à son expiration. Ajoutez le certificat racine add Trust CERT – D – R trustroot – K \
Ajouter un certificat racine à Windows 10 ouvrir la console de gestion Microsoft en utilisant la combinaison de touches Windows + R, tapez MMC et cliquez sur Ouvrir aller au fichier > Ajouter \/ supprimer snap – in cliquez sur certificat et ajouter sélectionner ACC
YID, issuer basicconstraints = ca: false keyusage = digital signature, non – répudiation, keyencryption, dataencryption subjectaltname = @ alt _ Name [alt name] DNS. 1 = poisson de mer. Testez OpenSSL x509 parce que la commande x509 nous permet de modifier les paramètres de confiance du certificat. Dans cet exemple, nous l’utilisons pour signer le certificat avec le fichier de configuration, ce qui nous permet de définir un autre nom pour le sujet. Au début, j’ai trouvé cette réponse sur le débordement de pile. Maintenant, nous lancerons la commande pour créer le certificat: en utilisant notre CSR, la clé privée de l’AC, le certificat de l’AC et le fichier de configuration: OpenSSL x509 – req – in hellfish. Quiz CSR ca myca. PEM cakey myca. Clé \ – cacreateserial – out hellfish. Quiz Sujet de la position: Re: Re: Пррррррар. Quiz Ext nous avons maintenant trois fichiers: hellfish. Quiz Clé (clé privée), hellfish. Quiz CSR (certificate signature request or CSR file) and hellfish. Quiz CRT (signature Certificate). Nous pouvons configurer le serveur web local pour utiliser https avec une clé privée et un certificat de signature. Si vous utilisez mamp pro, la version 6.0 introduit le support SSL intégré. Vous pouvez activer cette fonctionnalité en cochant la case SSL sous le serveur Web sélectionné. Si vous préférez utiliser le certificat signé localement que nous venons de configurer, vous pouvez le faire en activant la vue expert, en cliquant sur l’onglet SSL et en sélectionnant les fichiers certificat et clé de certificat (clé privée). Si vous utilisez un environnement Linux ou Windows utilisant nginx, vous pouvez utiliser nos instructions pour installer WordPress sur la série Ubuntu 20.04. Si vous utilisez Apache sur Linux ou Windows, vous devez activer Apache SSL mod et configurer l’hôte virtuel Apache pour le port 443 du site local. Il vous demandera d’ajouter sslengine, sslcertified file et sslcertified Keyfile, et de pointer les deux derniers vers les certificats et les fichiers clés nouvellement créés.
Si cela supprime le terrible message \