Gibt es irgendwo eine Möglichkeit, ein gültiges, signiertes SSL-Zertifikat für Tests an die Domäne "localhost" zu senden?

7

Gibt es irgendwo eine Möglichkeit, ein gültiges, signiertes SSL-Zertifikat für Tests an die "localhost" -Domäne zu senden? Bietet irgendwo jemand einen Download von so etwas an, den ich zum Testen verwenden kann? Ich weiß, wie man openssl verwendet, um einen Schlüssel mit einer Zertifizierungsstelle zu signieren, aber es sind viele Schritte erforderlich, und ich hoffe, dass es etwas schnelles und einfaches gibt.

Was ich möchte, ist eine vordefinierte Testzertifizierungsstelle, die ich in meine vertrauenswürdigen CA-Speicher importieren kann, und anschließend ein zugehöriger JKS-Keystore, in dem die Zertifizierungskette für diese Zertifizierungsstelle enthalten ist.

Es wäre also ein dreistufiger Prozess innerhalb einer geschützten Sandbox:

   1.  Get a new distro of Jetty, enable the SSL connector, point it to 
       the localhost.jks keystore
   2.  Import the CA that signed the localhost cert in the localhost.jks 
       into my web browser
   3.  Browse to Tomcat on the SSL port , look at the cert and see the 
       cert chain.
ssl https keystore keytool Djangofan
quelle
Warum nicht einfach ein selbstsigniertes verwenden und ihm vertrauen?
Shane Madden
1
Schreiben Sie dazu Ihr eigenes Shell-Skript, zum Beispiel: gist.github.com/1121067
quanta
@Shane Madden - da ich die ganze Zeit mit verschiedenen JVMs und verschiedenen Browsern teste, muss ich das vertrauenswürdige Zertifikat lieber nicht immer wieder importieren. Die utopische Idee wäre, ein Zertifikat zu haben, das zu einer der vorvertrauten Zertifizierungsstellen gehört.
Djangofan

Antworten:

3

Es fällt mir wirklich schwer zu glauben, dass es das gibt, da es gegen die Natur von SSL ist.

Die Zertifizierungsstellen in Ihrer Stammzertifikatliste sind Unternehmen, denen wir unser Vertrauen geschenkt haben. Ihre Aufgabe ist es zu überprüfen, ob diejenigen, die das Zertifikat besitzen, diejenigen sind, von denen sie behaupten, sie zu sein. Ein localhostsolches Zertifikat an jemanden wie diesen zu vergeben, würde dieses Konzept brechen. Auch zum Testen.

Kvisle
quelle
1
Das vermute ich auch, hoffe aber immer noch auf eine Hagel-Mary-Antwort. Andernfalls muss ich mir die Zeit nehmen, um ein Skript zu erstellen,
openssl einzurichten
2
Es ist keine so große Aufgabe, Sie müssen nur ein selbstsigniertes Zertifikat erstellen, was dasselbe ist, abzüglich des Überprüfungsprozesses + Erstellen der Ca-Zertifikate ... und dann auch dieses Ca-Zertifikat in Ihre Liste der vertrauenswürdigen Ca's importieren .
Kvisle
1
Es hört sich so an, als ob Sie unserer aktuellen "vertrauenswürdigen" Zertifizierungsstelle
könnten,
@andol Mein Anspruch ist nicht, dass das Konzept perfekt ist. Mein Anspruch ist, dass das Konzept das ist, was es ist. SSL ist ein kaputtes System, und Sie müssen sich bewusst sein, dass das Vertrauen in die Identität der SSL-Zertifikate das Vertrauen in die Zertifizierungsstelle bedeutet. Ich sage nicht, dass man ihnen vertrauen kann. Wenn Sie jedoch gefälschte Zertifikate erstellen möchten, ist Phishing localhost nicht das interessanteste Ziel.
Kvisle
2
Dies existiert tatsächlich, siehe readme.localtest.me
likeitlikeit
0

Kostenlose SSL-Zertifikate über Greenlock / Let's Encrypt

Wenn Sie den A Rekord für localhost.YOURSITE.comzu 127.0.0.1(oder einfach nur Ihre Hosts - Datei bearbeiten) können Sie gehen https://greenlock.domains und eine kostenlose 90-Tage - HTTPS - Zertifikat erhalten , die über Lassen Sie uns Encrypt ausgegeben wird .

Sie müssen die DNS-Überprüfung anstelle des Standard-Uploads der HTTP-Datei auswählen und einen TXT-Eintrag festlegen, um den Domänenbesitz nachzuweisen.

Programmatische Erneuerung über node.js.

Wenn Sie mit node.js vertraut sind, können Sie mit Greenlock.js eine automatisierte Lösung erstellen, die mit Ihren Keystores funktioniert.

Andere Lösungen

Es gibt auch Dinge wie Certbot, Caddy, ZeroSSL und eine Reihe anderer Lösungen, die sich ebenfalls in Let's Encrypt integrieren lassen.

CoolAJ86
quelle