对于使用NX的带有Angular Micro前端的mac

步骤1：创建自签名根证书

openssl req -x509 -nodes -new -sha256 -days 390 -newkey rsa:2048 -keyout "RootCA.key" -out "RootCA.pem" -subj "/C=de/CN=localhost.local"
openssl x509 -outform pem -in "RootCA.pem" -out "RootCA.crt"

步骤2：定义应包含在证书中的域和子域

为此，只需创建一个名为vhosts_domains.ext的文本文件并插入以下内容：

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
DNS.2 = *.mixable.blog.local
DNS.3 = mixable.blog.local

此示例包括域mixeble.blog.local的本地开发环境的子域以及所有子域，如www.mixable.blog.loal或apps.mixeble.blog.local。

步骤3：创建证书

openssl req -new -nodes -newkey rsa:2048 -keyout localhost.key -out localhost.csr -subj "/C=de/ST=State/L=City/O=Organization/CN=localhost.local"
openssl x509 -req -sha256 -days 1024 -in localhost.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -extfile vhosts_domains.ext -out localhost.crt

步骤4：使证书可用于Angular应用程序

nx serve host --open --devRemotes=<app names> --ssl --ssl-key <folder_location>/localhost.key --ssl-cert <folder_location>/localhost.crt

步骤5：将证书从导入添加到macOS密钥链

在chrome上，如果您仍然获得无效证书，则下载证书并添加到密钥链，并使所有证书都可信。

Windows:生成并自签名证书

这是一个在windows上生成根证书和实际域证书的“单文件”示例。编辑前四个变量，无需CMD进一步输入：

SET ROOT=my-root
SET NAME=demodomain
SET SUBJECT=/C=CH/O=My Demo Company
SET PASSWORD=ptGXHr3sudczSL9Q

:: Generate private key
openssl genrsa -des3 -out %ROOT%.key -passout pass:"%PASSWORD%" 2048
:: Generate root certificate 
openssl req -x509 -new -nodes -key %ROOT%.key -sha256 -days 3650 -out %ROOT%.crt -passin pass:"%PASSWORD%" -subj "%SUBJECT%"


openssl genrsa -out %NAME%.key 2048
openssl req -new -key %NAME%.key -subj "%SUBJECT%/CN=%NAME%" -out %NAME%.csr

(
echo authorityKeyIdentifier=keyid,issuer
echo basicConstraints=CA:FALSE
echo keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
echo subjectAltName = @alt_names
echo [alt_names]
echo DNS = %NAME%)>config.ext

openssl x509 -req -in %NAME%.csr -CA "%ROOT%.crt" -CAkey "%ROOT%.key" -CAcreateserial -out %NAME%.crt -days 1780 -sha256 -extfile config.ext -passin pass:"%PASSWORD%"

:: cleanup files used for certificate generation
del %NAME%.csr
del config.ext

如果您想在一个文件中包含完整的链，请在bat文件中添加以下内容：

:: build chain in certificate-file
echo %ROOT%.crt >> %NAME%.crt
Type "%ROOT%.crt" >> %NAME%.crt

如果要验证证书，请附加以下内容：

openssl verify -CAfile "%ROOT%.crt" -verify_hostname %NAME% %NAME%.crt

打开根证书my-root.crt并将其添加到windows证书存储（选择“受信任的根证书颁发机构”）：

Chrome中的最终结果：

当单击URL旁边的小划掉的锁定图标时，您将看到一个如下所示的框：

单击证书信息链接后，您将看到以下对话框：

它告诉哪个证书存储是正确的，它是受信任的根证书颁发机构存储。

您可以使用其他答案中列出的方法之一将证书添加到该存储，也可以使用：

certutil -addstore -user "ROOT" cert.pem

ROOT是前面提到的证书存储的内部名称。cert.pem是自签名证书的名称。

WINDOWS 2017年6月WINDOWS Server 2012

我听从了布拉德·帕克斯的回答。在Windows上，您应该在受信任的根证书颁发机构存储中导入rootCA.pem。

我执行了以下步骤：

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

其中v3.ext为：

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

然后，在我的例子中，我有一个自托管的web应用程序，所以我需要将证书与IP地址和端口绑定，证书应该在我的存储库中，并带有私钥信息，所以我导出为pfx格式。

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

使用mmc控制台（文件/添加或删除管理单元/证书/添加/计算机帐户/本地计算机/确定），我在个人存储中导入了pfx文件。

后来我使用这个命令绑定证书（您也可以使用HttpConfig工具）：

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash=证书Thumprint

appid=GUID（您的选择）

首先，我尝试以不同的方式在受信任的根证书颁发机构上导入证书“device.crt”，但仍然收到相同的错误：

但我意识到我应该导入根权限的证书，而不是域的证书。所以我使用mmc控制台（文件/添加或删除管理单元/证书/添加/计算机帐户/本地计算机/OK），在受信任的根证书颁发机构存储中导入了rootCA.pem。

重新启动Chrome，它就可以工作了。

使用localhost：

或IP地址：

我唯一做不到的是，它有过时的密码（图片上的红色方框）。在这一点上，我们非常感谢帮助。

使用makecert，无法添加SAN信息。使用NewSelfSignedCertificate（Powershell），您可以添加SAN信息，它也可以工作。

Linux系统

如果您使用的是Linux，也可以关注以下官方wiki页面：

在Linux上配置SSL证书。NSS共享数据库和LINUXNSS共享数据库如何

基本上：

单击带有X的锁定图标，选择证书信息转到“详细信息”选项卡单击导出。。。（另存为文件）

现在，以下命令将添加证书（其中YOUR_FILE是导出的文件）：

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

要列出所有证书，请运行以下命令：

certutil -d sql:$HOME/.pki/nssdb -L

如果它仍然不起作用，您可能会受到此错误的影响：问题55050:Ubuntu SSL错误8179

另外，在使用上述命令之前，请确保您拥有libnss3工具。

如果没有，请通过以下方式安装：

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

另外，您可以使用以下方便的脚本：

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

用法：

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

故障排除

使用--auto-ssl客户端身份验证参数运行Chromegoogle chrome--自动ssl客户端身份验证

这篇文章已经得到了大量的响应，但我基于其他一些答案创建了一个bash脚本，以便更容易生成在Chrome中有效的自签名TLS证书（在Chrome65.x中测试）。希望它对其他人有用。

自签名tls-bash脚本

安装（并信任）证书后，不要忘记重新启动Chrome(chrome://restart)

另一个值得一看的工具是CloudFlare的cfssl工具包：

cfssl