首先,我們需要一個域名,比如 www.qy-bb.club 域名已經跟我的服務器綁定了。
我們啓動一個擁有我們之前生成的證書的簡單的 web 服務器。使用以下命令開啓一個 web 服務器:
openssl s_server -cert server.pem -www
啓動後不要關閉這個窗口。默認情況下,服務器會監聽 4433 端口。所以你現在可以通過 https://www.qy-bb.club:4433/訪問服務器了。你很可能從瀏覽器收到一條錯誤消息:
如果該證書是被 VeriSign 之類的 CA 授權的話,我們就不會收到錯誤信息了,因爲火狐內置了該 CA 的證書。可惜 www.qy-bb.club 的證書是被我們自己的 CA 簽名,火狐不認識我們的 CA。有兩種方法能夠讓火狐接受我們的自簽名證書。
- 我們可以要求 Mozilla 在火狐里加入我們的證書,這樣每一個用火狐的人都能夠識別我們的 CA 了。這就是一般 CA 使用的方法,對我們來說自然是行不通的。
- 我們可以手動加載我們 CA 的證書如下圖(因爲不同版本的火狐瀏覽器具體的設置方法不同):
再次訪問:
可以看出客戶端與服務端建立了安全可靠的連接。