从自签名证书到wireshark解密https

服务器证书也就是SSL证书，不受信任的原因很多，具体分析如下：
第一种、证书过期
SSL证书都是有有效期的，如果站长购买后部署了证书，然后就忘记了证书这一件事情。等到有一天突然有用户说，你们的网站怎么显示的红色警告图标。这时候才开始排查问题，那么首先应该检查的就是证书是否过了有效期，如果过了有效期，证书应该及时续费或者使用其他证书，最好是在证书快要过期前的一两周续费，以免影响网站后续的使用。如果证书被吊销，也会显示日期过期，这种要立刻联系证书提供商，查找吊销原因，及时解决。
第二种、证书来自不信任的CA机构
CA机构就是证书的颁发机构。如果对SSL证书有所了解，那么大家应该知道，证书是任何人都可以发布的，我们可以自己给自己的网站颁发证书，我们也可以把我们自己制作的证书给别人安装。这种证书是完全不需要成本的，只需要你对证书有一定的了解，但是这种证书是默认不受其他客户端信任的，通常客户端会提示“该证书来自不信任的CA机构”。目前全球权威CA机构有Symantec、GeoTrust、Comodo以及RapidSSL等多家。
第三种、户端不支持SNI协议
一般这种情况发生在Windows XP系统中，安卓42以下版本也会发生这种情况，大多数原因是因为这些系统时代太久远了，目前使用的人数非常之少，也不建议大家使用。这些比较古老的系统中大多是不支持SNI(Server Name Indication，服务器名字指示)协议的，不过目前主流的 *** 作系统都是支持这个协议的，大家也不用太担心。
第四种、证书的不完整
在申请证书的时候，经常会由于用户的疏忽或者是第一次申请，不是很懂，导致没有完全看懂申请规则，这样在申请时候就会导致域名匹配不正确，所以在申请的时候一定要看清楚，认真填写。

1创建CA私钥: cakey

2创建根证书请求文件cacsr:

这里需要填入配置信息：

3自签根证书cacer：

4这一步可做可不做生成p12格式根证书cap12(密码填写123456,之前cacsr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)

5生成服务端私钥key serverkey:

6生成服务端请求文件 servercsr

填入证书配置信息：

servercsr

7生成服务端证书servercer（cacer，cakey，servrkey，servercsr这4个生成服务端证书）:

8生成客户端key clientkey:

9生成客户端请求文件clientcsr:

填入证书配置信息:
10生成客户端证书 clientcer:
11可做可不做生成客户端p12格式根证书clientp12(密码设置123456)：

至此，证书就制作完毕了：
原因：请求没有带上ca证书，无法校验服务器的证书 

解决方法1：

curl 加上-cacert ca证书 校验服务器证书

解决方法2：

curl 加上-k 可以不校验服务器证书。
网上给出的答复是：

Whatever method you use to generate the certificate and key files, the Common Name value used for the server and client certificates/keys must each differ from the Common Name value used for the CA certificate Otherwise, the certificate and key files will not work for servers compiled using OpenSSL

When OpenSSL prompts you for the Common Name for each certificate, use different names

解决方案：

参考文档链接：>