Управление ServBay PKI (ServBay CA)

В современном веб-разработке использование HTTPS для обеспечения безопасности передачи данных критически важно, даже в локальной среде разработки. ServBay предлагает встроенную локальную инфраструктуру открытых ключей (PKI) и центр сертификации (CA), называемый ServBay CA, который позволяет выдавать доверенные SSL/TLS-сертификаты для ваших локальных сайтов. Это предотвращает предупреждения браузера и позволяет имитировать рабочие HTTPS-соединения прямо на локальной машине.

В этом руководстве подробно описано, как управлять локальным корневым сертификатом, созданным ServBay CA — ServBay User CA - ECC Root на системе macOS, а также способы устранения связанных ошибок сертификатов.

Что такое ServBay CA?

ServBay CA — это центр сертификации, специально созданный ServBay для локальной среды разработки. С его помощью можно выдавать различные типы безопасных сертификатов для локальных сайтов (ранее называемых «хостами») в ServBay, в том числе:

• Сертификаты для доменных имён (TLS/SSL) для обеспечения локальных HTTPS-соединений.
• Почтовые (S/MIME) сертификаты для электронной подписи писем.
• Сертификаты для подписи документов (PDF).
• Сертификаты для подписывания исходного кода.

При установке ServBay центр сертификации создаётся автоматически, а его корневой сертификат ServBay User CA - ECC Root добавляется в связку ключей системы macOS и отмечается как доверенный, чтобы все выданные им сертификаты принимались в вашей локальной среде без ошибок.

Рис. 1: Интерфейс управления сертификатами ServBay

Как получить SSL-сертификат, выданный ServBay CA

ServBay CA может выдавать различные типы сертификатов для нужд вашей локальной разработки. Подробнее о получении и использовании сертификатов читайте в документации:

• Как получить и использовать SSL-сертификат для домена
• Как получить и использовать сертификат для подписи email S/MIME
• Как получить и использовать сертификат для подписи документов
• Как получить и использовать сертификат для подписи кода

Продление SSL-сертификатов, выданных ServBay CA

Сертификаты, выданные ServBay CA, по умолчанию действуют 800 дней. Если срок действия сертификата подходит к концу или уже истёк, вы можете легко продлить его через интерфейс ServBay.

В интерфейсе управления сертификатами найдите необходимый сертификат и нажмите кнопку обновления справа (как правило, это иконка в виде круглой стрелки). ServBay заново выдаст сертификат с новым 800-дневным сроком.

Рис. 2: Кнопка продления сертификата

Экспорт SSL-сертификатов, выданных ServBay CA

Иногда может понадобиться экспортировать сертификат, выданный ServBay CA, например, для использования на других устройствах, в виртуальных машинах или специфических приложениях.

В интерфейсе управления сертификатами нажмите кнопку Экспорт справа от интересующего сертификата. ServBay создаст архив .zip с сертификатом и приватным ключом для скачивания.

Рис. 3: Кнопка экспорта сертификата

Удаление SSL-сертификатов, выданных ServBay CA

Если сертификат больше не используется, его можно удалить.

В интерфейсе управления сертификатами нажмите кнопку Удалить справа от сертификата.

Обратите внимание: Нельзя напрямую удалить SSL-сертификат, который привязан к сайту (ранее — «хост») в конфигурации ServBay. Сначала отвяжите сертификат от сайта, после чего его можно удалить.

Рис. 4: Кнопка удаления сертификата

Как найти ServBay CA в macOS «Доступ к связке ключей»?

Корневой сертификат ServBay CA — ServBay User CA - ECC Root устанавливается в системную связку ключей macOS. Для просмотра и управления им используйте приложение «Доступ к связке ключей».

Пошаговая инструкция:

1. Откройте приложение «Доступ к связке ключей». Используйте поиск Spotlight (Cmd + Пробел и введите «Доступ к связке ключей»).
2. В левой панели в разделе «Связки ключей» выберите связку Система. Корневой сертификат ServBay CA обычно устанавливается именно туда.
3. В правом верхнем поиске введите ServBay User CA - ECC Root.
4. В результатах найдите нужный сертификат. Двойной клик покажет подробности, в том числе статус доверия.

Рис. 5: Поиск ServBay CA в «Доступе к связке ключей»

Устранение ошибок сертификатов на локальных сайтах

Если при работе с локальными сайтами через ServBay в браузере появляется предупреждение об ошибке сертификата (например, «Ваше соединение не защищено» или «NET::ERR_CERT_AUTHORITY_INVALID»), это обычно означает, что корневой сертификат ServBay CA не установлен или не доверяется системой, либо проблема в самих сертификатах сайта.

Вот основные способы решения подобных проблем:

Переустановка корневого сертификата ServBay CA

Если корневой сертификат ServBay CA отсутствует, повреждён или не вызывает доверия в системе, попробуйте переустановить его.

1. Откройте приложение ServBay.
2. Перейдите в административную панель ServBay.
3. В панели перейдите на вкладку Пакеты (Packages).
4. Найдите и выберите пункт ServBay Root CA.
5. Нажмите кнопку Переустановить ServBay Root CA. ServBay удалит старый корневой сертификат (если он был) и повторно установит ServBay User CA - ECC Root в системную связку ключей, пометив его как доверенный. Следуйте подсказкам системы и введите пароль администратора при необходимости.

Рис. 6: Переустановка ServBay Root CA

Пересоздание всех пользовательских сертификатов ServBay

В ряде исключительных случаев, например, при повреждении ServBay CA, потере файлов сертификатов или ошибке цепочки, может понадобиться пересоздать все сертификаты, выданные ServBay CA.

В интерфейсе управления ServBay Root CA нажмите кнопку Пересоздать все пользовательские сертификаты ServBay. Эта операция удалит все текущие сертификаты, выданные ServBay CA, и создаст новые для всех сайтов, настроенных в ServBay.

Важное замечание: Эта операция приведёт к изменению сертификатов всех локальных сайтов, использовавших старые сертификаты ServBay CA. Если вы ранее экспортировали или делились сертификатами (например, для тестов на мобильных устройствах), повторно экспортируйте и распространите новые сертификаты, чтобы избежать перебоев в работе сервисов.

Рис. 7: Пересоздание всех пользовательских сертификатов ServBay

Дополнительные рекомендации:

• Проверьте настройки сайта: Убедитесь, что ваш сайт использует сертификаты, выданные ServBay CA.
• Кэш браузера: Иногда браузер сохраняет устаревшие сведения о сертификатах. Очистите кэш или воспользуйтесь приватным режимом.
• Состояние доверия системы: В «Доступе к связке ключей» ещё раз убедитесь, что сертификат ServBay User CA - ECC Root помечен как «Всегда доверять». Двойной клик по сертификату, затем разверните раздел «Доверие» и установите опцию «Всегда доверять» для всех пунктов.

Резюме

ServBay CA — мощный инструмент, предоставляющий удобную работу с HTTPS в локальной среде разработки на macOS. Следуя рекомендациям из этой статьи, вы сможете эффективно управлять SSL-сертификатами, выданными ServBay CA: получать, продлевать, экспортировать, удалять, а также устранять ошибки при их возникновении. Грамотная настройка и сопровождение ServBay CA обеспечит вашей разработки безопасность и максимальное сходство с боевой инфраструктурой.