单从技术标准上讲，可以自签名出有效的 *.local 这类证书吗？

如题，准备把局域网内的服务也都开 https （为了那个锁头好看），想知道单从技术标准上讲，可以自签名出有效的 *.local 这类证书吗？

biabia123456

2023-02-10 14:05:17 +08:00

可以试试 mkcert

Zikinn

2023-02-10 14:10:35 +08:00

@biabia123456 我用的 XCA ，允许签，只是单纯好奇浏览器认可不认可，一会儿我试试

dynos01

2023-02-10 14:21:45 +08:00

手动把 CA 加到系统 CA 列表里就认，否则不认。

leoleoleo

2023-02-10 14:31:58 +08:00

建议去了解一下 ca 证书以及 TLS 协议相关的原理。

如果是使用标准的技术签发的证书，浏览器认不认只看签发证书的 ca 机构是否在浏览器的信任列表里，一般操作系统和浏览器默认都带有一个全球权威 CA 机构的列表，在这个列表里的 CA 机构签发的有效期的证书，并且证书内容和域名啥的一致，浏览器都会显示可信。

你也可以把自己创建的 CA 机构证书导入到本地的信任列表里，这样子就行了。当然，大部分使用自签证书的人，会在浏览器报不可信时，直接选择信任继续访问就是了。

cxh116

2023-02-10 14:46:21 +08:00

签不出，你过不了所有权验证。

你公司的域名的子域名也可以指向内网 ip ，又没强制你一定要指向公网 ip 。

Zikinn

2023-02-10 14:48:16 +08:00

@leoleoleo
@dynos01
嗯嗯谢谢，刚刚试了下是可以的，Chrome 看系统的证书信任区，FireFox 用浏览器内置的 Mozilla 维护的证书信任区，加到本地信任区这个我知道，测试了下完全没问题，包括公网访问。

> 其实之前写过一个文章，只是没测试过能不能直接签一个 TLD 这么玩 🤣
> https://zikin.org/xca/

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/914890

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.