Как выписать самому себе SSL-сертификат и установить его под Андроид/Винды?

Question

[ImagineTables]

Надоело при отладке «в полях» бороться с многочисленными ограничениями некоторых браузеров на протоколы http (без s) и file. Поэтому решил поставить самоподписанный сертификат.

Есть тестовый веб-сервер, который поддерживает следующие опции (цитата из мануала):

OPTIONS:
…
  --cert <cert>                              TLS/SSL certificate (pkcs#12 format)
  --certpass <certpass>                      TLS/SSL certificate password
…

Чем и как сгенерировать этот сертификат (в pkcs#12 format), и как его затем установить в доверенные под Андроидом и Виндами, чтобы браузеры принимали?

Никогда этим не занимался, и даже не слышал, что у сертификата есть какой-то пароль, который судя по мануалу надо передавать в --certpass.

UPD 1

Пока разбираюсь, возник такой вопрос для начала. Под рукой есть только нерутованный Андроид, рутовать его не особо хочется. Судя по прочитанному, это ставит жирный крест на возможности отредактировать /system/etc/hosts. Сейчас я открываю тестовый сервер по айпишнику. А для сертификата придётся хоть как доменное имя симулировать? Или нет? Нашёл ещё упоминания обходного пути — поставить на Андроид апп DNS server'а, и в свойствах своего вайфайного подключения прописать 127.0.0.1. Это самый простой путь?

Comments

[GavriKos]

Ну а что гугл на это говорит?

[ImagineTables]

GavriKos, Гугл, например, говорит, что https://stackoverflow.com/questions/21141215/creat...

Ну а пока я неторопливо курю маны к openssl, можете и подсказать. Если разбираетесь, конечно.

[Valentin Barbolin]

ImagineTables, Теория
1. Сгенерировать сертификат CA
2. Сгенерировать сертификат web сервера, подписать его CA, поставить на web сервер.
3.Скопировать CA на всех клиентов которые должны доверять web серверу и добавить в доверенные, обычно система сама знает куда его поставить, иногда дополнительно надо сказать ей что он доверенный.

Если в сертификате есть приватный ключ (pkcs#12) то он "может" быть дополнительно защищен паролем.

[ImagineTables]

Valentin Barbolin, сразу спрошу: а п.3 без рута на Андроиде получится? Или, если не на уровне системы, а на уровне браузера, Chrome for Android покажет опцию «Всё равно открыть» / «I accept the risk», или типа того? Спасибо.

[Valentin Barbolin]

ImagineTables,

рута на Андроиде получится?

Да. Достаточно быть администратором устройства.
https://support.n4l.co.nz/s/article/Installing-an-...

Или, если не на уровне системы, а на уровне браузера

В андроид такой возможности не втречал.

«Всё равно открыть» / «I accept the risk», или типа того?

Кроме установки CA на клиента, сертификат web сервера так же должен отвечать и другим критериям валидности. Должна быть правильная дата в сертификате и доменное имя по которому обращается клиент к должно быть прописано в сертификате (CN), можно сразу прописать несколько или wildcard, так же алгорим шифрования сертификата должен быть стойким (SHA256, 2048bit).

Андроид периодически ужесточает требования к сертификату, то что работало на android 11 может не работать на 14, возможно будут доп настройки для доверия CA.

[ImagineTables]

Valentin Barbolin, спасибо большое! Ещё тогда сразу спрошу. А вот этот wildcard, он может быть, грубо говоря, *.* и распространяться на подключение по айпишнику? Потому что не хотелось бы ещё и DNS тащить на девайс или рабочую машину.

[Valentin Barbolin]

ImagineTables,

*.*

Такой не прокатит, надо что-то типа *.example.com
Можно указывать несколько доменов, в том числе и IP. Но не всем клиентам понравиться IP, особенно если порт будет не 443. DNS тебе тоже придется поднимать.

[ImagineTables]

Valentin Barbolin, Мне ж для тестового окружения, куски UI проверить. Клиентам отгружаться будет вообще другое.

Answer 1

[Alexey Dmitriev]

Hosts не нужен. Нужно развернуть свой dns сервер с нужной зоной, или на роутере или прямо на компьютере и указывать его в настройках DHCP. Все клиенты будут ходить за именами к нему или через него.
Можно использовать dnsmasq.
Сертификаты генерируются и конвертируются между между типами с помощью openssl.
Добавить выпущенный сертификат в корневые центры можно на любой ОС.

Answer 2

[Eden Allen]

Для генерации самоподписанного сертификата PKCS#12, смоделируйте домен (например, с помощью локального DNS-приложения), затем установите сертификат в доверенные хранилища Android и Windows для более удобного тестирования HTTPS.

Однако я бы рекомендовал приобрести SSL-сертификат у реселлера. Это стоит всего $4.

Comments

[Alexey Dmitriev]

К нему ещё нужно домен купить/иметь. А если есть домен, что мешает выпустить бесплатный let's encrypt.

[CityCat4]

Угу, щаззз. С РФ работает только бельгийско-японский GlobalSign, у которого вооооовсе не гуманные цены. Проще взять бросовый домен за бакс или бесплатно на .xyz - и выпустить через LE

[ImagineTables]

Из принципа не буду заказывать услуги, которые мне нужны. (А для тестового окружения мне сертификат не нужен). Задача — обойти ограничения Chrome for Android на протокол file://, которые я, кстати, тоже не просил.

Answer 3

[CityCat4]

Мануалов по генерации самоподписанного сертификата хоть #опой жуй.

Comments

[Ziptar]

ну или есть тупо xca, где из коробки более-менее с ходу все понятно (шаблоны для ca, tls client (не нужон) и tls server в наличии)

[CityCat4]

Ziptar, Хотел его одно время допилить под себя, но потом нахерачил скриптов и забил.