我在Haskell应用程序的目录中生成了一个证书:
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out certificate.csr
openssl x509 -req -in certificate.csr -signkey key.pem -out certificate.pem
然后我运行了我的应用程序:
import Network.Wai
import Network.Wai.Handler.Warp
import Servant
import Network.Wai.Handler.WarpTLS
startApp :: IO ()
startApp = do
let port = 3345
let tls = tlsSettings "certificate.csr" "key.pem"
runTLS tls (setPort port defaultSettings) app
然后去了https://localhost:3345我得到一个错误"空证书链"
它怎么了?也许我把证书放在了"/opt/……"之类的地方?
目前,所有3个文件都在我的应用程序的根目录中:key.pem、certificate.csr和certificate.pem.
更新:
它是arch-linux,而在托管时我有Ubuntu,因此我需要一个两者的解决方案。
这个证书是自签名的,而在托管时它是由let’s encrypt颁发的。
我把一个代码改了一点:"csr"改为pem:
let tls = tlsSettings "certificate.pem" "key.pem"
runTLS tls (setPort port defaultSettings) app
这是另一个错误:
$ curl -v https://localhost:3345
* Rebuilt URL to: https://localhost:3345/
* Trying ::1...
* connect to ::1 port 3345 failed: Connection refused
* Trying 127.0.0.1...
* Connected to localhost (127.0.0.1) port 3345 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: self signed certificate
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.html
curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
TL;DR:处理证书很困难。使用自签名的.pem文件(和密钥)并向浏览器或操作系统添加安全例外。.csr文件不是您可以使用的文件。服务器很好(.csr文件除外),但在您的密钥由CA签名之前(这对于本地域名来说是不可能的),您最终会收到安全警告。
它怎么了?
服务器(几乎)正常。但是,您希望发送.pem文件。.csr是由证书颁发机构(CA)对证书进行签名的请求。CA需要得到用户或另一个CA(用户信任的CA)的信任。让我们看看您的原始命令:
openssl genrsa -out key.pem 2048
这将生成私钥,该私钥将用于TLS握手和其他操作。
openssl req -new -key key.pem -out certificate.csr
这将生成上述c证书s原始r请求。您将向CA发送此请求,CA会检查您的身份。例如,他们会检查FQDN是否真的是您的。否则,您可以要求stackoverflow.com提供证书并使用MITM攻击。这还得出结论,您不能向(非本地)CA请求本地名称的证书,如localhost或hostname.local.domain.name。
openssl x509 -req -in certificate.csr -signkey key.pem -out certificate.pem
这将接受原始证书请求,使用自己的密钥对其进行签名,并生成证书(certificate.pem)。通常,该证书包含一个CA链,例如谁签署了CA的证书,谁签署了签署CA证书的证书,等等,直到我们最终获得根证书。
因此,您所要做的就是将该证书与您的私钥一起使用。不过,这将导致安全警告,因为您无法证明自己的身份。这就是为什么在curl中需要--insecure,而在大多数浏览器中需要一个安全异常。除此之外,它还会起作用。请注意,服务器不知道其证书是自签名的。它只是使用两个文件来启动与客户端的通信。