Как правильно создать самоподписанный сертификат для локального IP и заставить ему доверять?

Question

[syxoi]

Здравствуйте!
Сгенерировал сертификат таким образом:

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/apache2/ssl/mycert.key -out /etc/apache2/ssl/mycert.crt

При создании сертификата common name указал так же 172.25.25.20:

Common Name (e.g. server FQDN or YOUR name) []:172.25.25.20

И прописал в /etc/apache2/sites-enabled/default-ssl.conf следующее:

ServerName 172.25.25.20
SSLCertificateFile /etc/apache2/ssl/mycert.crt
SSLCertificateKeyFile /etc/apache2/ssl/mycert.key
SSLEngine on

Все необходимые модули для поддержки ssl, разумеется, включил.

Затем, добавил сертификат в Chrome, однако при попытке зайти на сайт выводит ошибку:


Так вот, как грамотно сделать самоподписанный сертификат для локальной сети (без домена, сайт - IP-адрес) и заставить доверять ему как браузеры, так и устройства на Android?

Comments

[Valentin Barbolin]

Покажи URL.

[syxoi]

Andrey Barbolin,

[Valentin Barbolin]

syxoi, Странно что на CN ругается. Можешь сам сертификат сбросить ?

Answer 1

[Александр Карабанов]

Всё таки использовать домен, а не IP (можно не регистрировать домен и просто прописать в hosts соответствующую запись, можно поднять свой DNS - это более предпочтительный вариант, можно зарегистрировать бесплатный домен на freenom.com).

Сделать сертификат доверенным на всех устройствах.

Ещё можно рассмотреть возможность использовать сертификты от Let's Encrypt.

PS
Ещё в роутере может быть возможность добавляь DNS записи, тогда можно воспользоваться DNS роутера...

Comments

[syxoi]

Let's Encrypt вообще не вариант, потому что требуется доступ к интернету, а мне нужна только локальная сеть, без интернета.

[syxoi]

А собственный DNS сервер должен работать только для адресов и имен, которые пропишу я, или он обязательно должен подключаться к корневым DNS серверам?

[Александр Карабанов]

Let's Encrypt сертификат можно получать на компьютере с доступом к интернету, а использовать где угодно, в том числе на компьютере без доступа к интернету.

Собственный DNS сервер может работать только для адресов и имен внутри локальной сети, обеспечивать его доступом к интернету не обязательно.

PS
Если есть AD то можно централизованно распространять самоподписанные сертификаты (да вообще любые) https://habr.com/ru/company/microsoft/blog/349202/

[syxoi]

Александр Карабанов, LE надо переодически продлять, а для продления нужен доступ к интерету.

[Александр Карабанов]

syxoi, да.

[syxoi]

Александр Карабанов, А как поднять DNS сервер для локальной сети? Везде нахожу только инфу о том, как поднять локальный DNS сервер, который работает через корневые сервера. А мне нужен DNS сервер, который будет "обслуживать" только несколько локальных адресов, а для интернета использовать другой, "внешний" DNS сервер.

[Александр Карабанов]

Как-то так https://www.digitalocean.com/community/tutorials/h...

[syxoi]

Александр Карабанов, Здесь идёт настройка forwarders, проще прописать в hosts тогда уж. Я вот не понимаю, зачем разработчики Nextcloud вставляют палки в колёса и заставляют использать https в локальной сети? Что за бред?

Answer 2

[AUser0]

Нажмите кнопку "Advanced", и там будет ссылка "Перейти к 172.25.25.20", или что-то подобное...

Comments

[syxoi]

Это не то, это костыль. Nextcloud Passwords выдаёт Network error, поэтому он должен сразу пропускать.

[AUser0]

Так "Advanced" нажимали, ссылка есть?

он должен сразу пропускать

На самописном-то сертификате?

[Александр Карабанов]

AUser0, если добавить его в доверенные то да, будет сразу пускать. Но тут IP в качестве CN так что не будет всё равно.

Answer 3

[CityCat4]

Заставить доверять самоподписанному сертификату можно только поместив его в хранилище доверенных сертификатов. На каждом устройстве, на котором нужно доверие.

Да, LE придумали вовсе не зря :)

Comments

[syxoi]

LE не подойдет. Добавил я сертификат, толку нет от этого.

[CityCat4]

syxoi, Где добавил? на том компе, с которого сайт открывается?

А, пардон. В сертификате ошибка :) Английским по белому написано COMMON_NAME_INVALID

[syxoi]

CityCat4, Так common name правильное, в том и дело) Может быть, оно с IP адресами вообще не работает и нужно обязательно доменное имя?

[Александр Карабанов]

syxoi, да, чаще всего если в качестве CN используется IP, то вообще не работает.

[CityCat4]

syxoi, Невозможно выдать сертификат на IP адрес

[syxoi]

CityCat4, А как тогда в интернете прикручивают SSL к IP-адресу? Тот же https://1.1.1.1

[CityCat4]

syxoi, Насколько я понял, через SAN. Сертификат на этом сайте выдан на cloudflare-dns.com, а в SAN прописано несколько записей, в том числе и с IP-адресами, так можно (более того, для сертификатов для VPN - так нужно!)

[syxoi]

CityCat4, Действительно. Добавил IP через SAN и теперь всё работает. Но некоторые программы могут всё равно возникать насчет того, что неизвестный регистратор или тип того.

[CityCat4]

syxoi, А вот тут уже помогает добавление в доверенные