Как обойти ERR_CERT_DATE_INVALID при настройке сайта в локальной сети?

Question

[Lizard]

Всем привет.
Я поднимаю локальный сайт. Теперь мне нужно, чтобы он работал по https со всех устройств внутри локальной сети. Для этого я сгенерировал серты с помощью mkcert. Локально, на компьютере, на котором генерировал, сайт открывается, все нормально.

Но когда я пытаюсь зайти на сайт с другого устройства внутри локальной сети, то появляется ошибка ERR_CERT_DATE_INVALID.
Я нашел корневой серт и прописал его в настройках apache2

lzrdrt@lzrdrt-mint:~/ssl$ mkcert -CAROOT
/home/lzrdrt/.local/share/mkcert
lzrdrt@lzrdrt-mint:~/ssl$ ls -la /home/lzrdrt/.local/share/mkcert
итого 16
drwxr-xr-x  2 lzrdrt lzrdrt 4096 янв 10 23:21 .
drwxrwxr-x 10 lzrdrt lzrdrt 4096 янв 17 00:30 ..
-r--------  1 lzrdrt lzrdrt 2484 янв 10 23:21 rootCA-key.pem
-rw-r--r--  1 lzrdrt lzrdrt 1647 янв 10 23:21 rootCA.pem

<VirtualHost *:443>
    ServerName 192.168.1.4
    ServerAdmin admin@welcome.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateChainFile /home/lzrdrt/ssl/rootCA.pem
    SSLCertificateFile      /home/lzrdrt/ssl/pepega.com.pem
    SSLCertificateKeyFile /home/lzrdrt/ssl/pepega.com-key.pem

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Но это не сработало, есть идеи ?

Comments

[Valentin Barbolin]

На десять лет может быть рутовый сертификат. Для твоего сертификата максимальный рекомендуемый срок жизни 13 месяцев.

Answer 1

[Армянское Радио]

Не заниматься колхозингом, а просто взять серт от LetsEncrypt

Comments

[Lizard]

тестировал ?

[Армянское Радио]

Lizard, прямо сейчас использую

Answer 2

[ky0]

Если есть реальная необходимость (что бывает, имхо, довольно редко), чтобы работало на нескольких устройствах - распространяйте корневой сертификат, которым подписывали. Но вообще, если устройства не исчисляются десятками - проще добавить в исключения руками.

А вообще - вполне можно тестировать и без шифроавния, добавляя его на этапе публикации в интернет. Ну или, как правильно заметили выше - выпустить валидный сертификат для домена через LE, особенно удобно в этом случае подтверждание через DNS.

Comments

[Lizard]

Это часть проекта.
У меня полян к точка доступа на Wi-Fi-адаптере + dhcp + iptables , который ведёт на captive portal. Этот сайт является captive portal-лом, и мне надо сделать так , чтобы не только при http запросе был редирект , но и при https.

[ky0]

Lizard, для устройств, которые не под вашим управлением - без вариантов, нужен валидный сертификат.

Answer 3

[CityCat4]

Если нет необходимости использовать именно локальный сертификат - закажите его на LE - он как раз для таких случаев - для локальных, тестовых, дишманских серверов.