如何生成HTTPS代理证书？

Question

我目前正在使用OpenSSL编写一个HTTPS代理，但我不能让火狐或IE将我的自签名证书接受为CA。我已经将证书添加到IE中的“受信任根证书颁发机构”和Firefox中的“权威机构”。我正在https://ssltest11.bbtest.net/上使用在Geotrust上找到的证书进行测试，但据我所见，其他站点也是如此。给我一个错误：

此网站提供的安全证书不是由受信任的证书颁发机构颁发的。本网站提供的安全证书是为另一个网站的地址签发的。

Firefox：

https://ssltest11.bbtest.net/同行的证书颁发机构不被识别。HTTP严格传输安全性: false HTTP公钥固定: false 证书链:开始证书-证书

是否必须为代理连接到的每个域生成证书？

为了澄清，我正在生成.pem证书和密钥，然后将证书转换为.cer，这是我在火狐和IE中使用的。代理使用.pem证书和密钥。

Answer 1

如果要执行SSL拦截，则必须生成CA证书，将其添加为受信任的浏览器/系统，然后动态生成由此受信任CA证书签名的叶证书。这意味着对于您正在为每个站点执行SSL拦截(即中间人攻击)，您需要创建一个与URL中显示的名称匹配的证书。例如，可以通过从原始证书中提取公共名称和主题替代名称来创建匹配证书，并根据这些信息创建一个新证书，该证书由位于CA中间的人签名。