Форум Open Server Panel

OC - Win10. Установил сертификаты из-под коробки: rootCA в доверенные корневые сертификаты, server - в личные. Перезапустил сервер и браузер (Chrome)Запускаю сайт

https://mydomain

- соединение не конфиденциально.
Как заставить браузер принять сертификат?

1. Используйте нижеприведенный скрипт для генерации сертификата под ваш домен mydomain:

@echo OFF
setlocal
set OPENSSL_CONF=C:\openserver\modules\http\Apache-2.4\conf\openssl.cnf
set PATH=%PATH%;C:\openserver\modules\http\Apache-2.4\bin
set dname=mydomain
set days=730
set key_bits=2048
set root_certs_path=C:\openserver\userdata\config\cert_files

echo [trust_cert] > %dname%.cnf
echo subjectAltName=@alt_names >> %dname%.cnf
echo keyUsage=digitalSignature,keyEncipherment,dataEncipherment >> %dname%.cnf
echo extendedKeyUsage=serverAuth,clientAuth >> %dname%.cnf
echo [alt_names] >> %dname%.cnf
echo DNS.1 = %dname% >> %dname%.cnf
echo DNS.2 = %dname%.ospanel.io >> %dname%.cnf

openssl genrsa -out %dname%.key %key_bits%
openssl req -sha256 -new -utf8 -key %dname%.key -out %dname%.csr -subj /emailAddress="info\@ospanel\.io"/C=RU/stateOrProvinceName="Russian Federation"/L=Moscow/O="Open Server Panel"/OU=Software/CN=%dname%
rem Для создания сертификата, подписанного доверенным сертификатом
openssl x509 -sha256 -req -days %days% -in %dname%.csr -extfile %dname%.cnf -extensions trust_cert -CA %root_certs_path%\rootCA.crt -CAkey %root_certs_path%\rootCA.key -out %dname%.crt
del %dname%.csr
del %dname%.cnf
pause

2. Скопируйте сгенерированные ключ и сертификат в каталог C:\openserver\userdata\config\cert_files
3. Если вы используйте nginx 1.13 в качестве веб-сервера, скопируйте конфиг C:\openserver\userdata\config\Nginx-1.13_vhost.conf в корневой каталог вашего домена: C:\openserver\domains\mydomain (с другими версиями аналогично)
4. Измените в скопированном файле C:\openserver\domains\mydomain\Nginx-1.13_vhost.conf следующие параметры:

ssl_certificate               "C:/openserver/userdata/config/cert_files/mydomain.crt";
ssl_certificate_key           "C:/openserver/userdata/config/cert_files/mydomain.key";

5. Перезапустите OSPanel и проверьте сайт https://mydomain

не работает. все равно требует подтверждения и добавления в исключения

webaccept,
А сертификат rootCA.crt вы добавили в хранилище сертификатов Windows, в раздел "Доверенные корневые центры сертификации"? Если же вы используете в качестве браузера Firefox, в его хранище также необходимо импортировать корневой сертификат.

А вот про хранилище я и забыл. прыгал с бубном. а оказывается у Firefox особенность, а я как раз его использую.
Огромный респект++ за подсказку. скрипт работает! Спасибо!

Ink0gnit0 писал(а): ↑17 янв 2018, 22:17 1. Используйте нижеприведенный скрипт для генерации сертификата под ваш домен mydomain:

@echo OFF
setlocal
set OPENSSL_CONF=C:\openserver\modules\http\Apache-2.4\conf\openssl.cnf
set PATH=%PATH%;C:\openserver\modules\http\Apache-2.4\bin
set dname=mydomain
set days=730
set key_bits=2048
set root_certs_path=C:\openserver\userdata\config\cert_files

echo [trust_cert] > %dname%.cnf
echo subjectAltName=@alt_names >> %dname%.cnf
echo keyUsage=digitalSignature,keyEncipherment,dataEncipherment >> %dname%.cnf
echo extendedKeyUsage=serverAuth,clientAuth >> %dname%.cnf
echo [alt_names] >> %dname%.cnf
echo DNS.1 = %dname% >> %dname%.cnf
echo DNS.2 = %dname%.ospanel.io >> %dname%.cnf

openssl genrsa -out %dname%.key %key_bits%
openssl req -sha256 -new -utf8 -key %dname%.key -out %dname%.csr -subj /emailAddress="info\@ospanel\.io"/C=RU/stateOrProvinceName="Russian Federation"/L=Moscow/O="Open Server Panel"/OU=Software/CN=%dname%
rem Для создания сертификата, подписанного доверенным сертификатом
openssl x509 -sha256 -req -days %days% -in %dname%.csr -extfile %dname%.cnf -extensions trust_cert -CA %root_certs_path%\rootCA.crt -CAkey %root_certs_path%\rootCA.key -out %dname%.crt
del %dname%.csr
del %dname%.cnf
pause

Получаю ошибку
https://yadi.sk/i/-5TNKobWSCXhTA
https://yadi.sk/i/2FmHxSCxSqOtQw

Подскажите что я делаю не так?