ServBay PKI(ServBay CA)管理
在现代 Web 开发中,使用 HTTPS 确保数据传输安全至关重要,即使是在本地开发环境中也不例外。ServBay 提供了一个内置的本地公钥基础设施 (PKI) 和证书颁发机构 (CA),称为 ServBay CA,它能够为您的本地网站签发可信的 SSL/TLS 证书,从而避免浏览器警告,让您在本地就能模拟生产环境的 HTTPS 连接。
本文将详细介绍如何在 macOS 系统下管理 ServBay CA 生成的本地根证书 ServBay User CA - ECC Root,以及如何处理与 ServBay CA 相关的证书错误。
什么是 ServBay CA?
ServBay CA 是 ServBay 专为本地开发环境设计的一个证书颁发机构。它允许您为在 ServBay 中配置的本地网站(原称“主机”)签发各类安全证书,包括但不限于:
- 域名(TLS/SSL)证书,用于实现本地 HTTPS 连接。
- 邮件(S/MIME)签名证书。
- 文档(PDF)签名证书。
- 源代码(Code)签名证书。
在 ServBay 安装过程中,ServBay CA 会自动生成,并且其根证书 ServBay User CA - ECC Root 会被添加到您的 macOS 系统的钥匙串中,并被标记为信任,确保由它签发的证书在您的本地环境中是受信的。
图 1: ServBay 的证书管理界面
申请 ServBay CA 签发的 SSL 证书
ServBay CA 可以为您的本地开发需求签发多种类型的证书。您可以参考以下文档了解如何申请和使用它们:
对 ServBay CA 签发的 SSL 证书进行续期
ServBay CA 签发的证书默认有效期为 800 天。如果您的证书即将过期或已过期,可以通过 ServBay 界面轻松进行续期。
在证书管理界面,找到需要续期的证书,点击该证书右侧的刷新按钮(通常是循环箭头图标)。ServBay 将为您重新签发一个有效期为 800 天的新证书。
图 2: 证书续期按钮
导出 ServBay CA 签发的 SSL 证书
有时您可能需要将 ServBay CA 签发的证书导出,例如在其他设备、虚拟机或特定的应用中使用。
在证书管理界面,点击证书右侧的 导出 按钮。ServBay 会将证书及其私钥打包成一个 .zip 文件供您下载。
图 3: 导出证书按钮
删除 ServBay CA 签发的 SSL 证书
如果您不再需要某个证书,可以将其删除。
在证书管理界面,点击证书右侧的 删除 按钮。
请注意: 正在被 ServBay 中配置的网站(原称“主机”)使用的 SSL 证书无法直接删除。您需要先解除该网站对该证书的引用,然后才能删除证书。
图 4: 删除证书按钮
如何在 macOS 钥匙串访问中查找 ServBay CA?
ServBay CA 的根证书 ServBay User CA - ECC Root 安装在您的 macOS 系统钥匙串中。您可以通过『钥匙串访问』工具来查看和管理它。
具体查找步骤如下:
- 打开『钥匙串访问』应用。您可以通过 Spotlight 搜索 (
Cmd + Space然后输入钥匙串访问) 快速找到并打开。 - 在『钥匙串访问』窗口左侧边栏的“钥匙串”区域,选择
系统钥匙串。ServBay CA 根证书通常安装在此。 - 在右上角的搜索栏中输入
ServBay User CA - ECC Root。 - 在搜索结果中找到该证书。双击证书可以查看其详细信息,确认其是否被标记为“信任”。
图 5: 在钥匙串访问中查找 ServBay CA
解决本地网站证书错误问题
在使用 ServBay 配置的本地网站时,如果您的浏览器提示证书错误(例如“您的连接不是私密的”或“NET::ERR_CERT_AUTHORITY_INVALID”),这通常意味着 ServBay CA 的根证书未正确安装或未被系统信任,或者网站使用的证书本身有问题。
以下是解决这类问题的常见方法:
重新安装 ServBay CA 根证书
如果 ServBay CA 根证书在系统钥匙串中丢失、损坏或未被信任,您可以尝试重新安装它。
- 打开 ServBay 应用。
- 进入 ServBay 的管理面板。
- 在管理面板中,导航到
软件包(Packages) 选项卡。 - 在软件包列表中,找到并点击
ServBay Root CA选项。 - 点击
重新安装 ServBay Root CA按钮。ServBay 将会移除旧的根证书(如果存在)并在系统钥匙串中重新安装ServBay User CA - ECC Root,并尝试将其标记为信任。按照系统提示输入管理员密码以完成操作。
图 6: 重新安装 ServBay Root CA
重新签发所有 ServBay User 证书
在某些极端情况下,例如 ServBay CA 本身出现问题、证书文件丢失或证书链错误,您可以选择重新签发所有由 ServBay CA 签发的证书。
在 ServBay Root CA 管理界面,点击 重新创建所有 ServBay User 证书 按钮。此操作会删除所有当前由 ServBay CA 签发的证书,并根据您在 ServBay 中配置的网站重新生成并签发新的证书。
重要提示: 此操作会使得所有依赖 ServBay CA 签发证书的本地网站证书发生变化。如果您之前导出或分发过这些证书(例如用于移动设备测试),您需要重新导出并分发新的证书,以确保服务不中断。
图 7: 重新签发所有 ServBay User 证书
额外排查步骤:
- 检查网站配置: 确保您的网站配置正确指向了 ServBay CA 签发的证书文件。
- 浏览器缓存: 有时浏览器会缓存旧的证书信息。尝试清除浏览器缓存或使用隐私模式访问网站。
- 系统信任状态: 在『钥匙串访问』中再次确认
ServBay User CA - ECC Root证书是否被标记为“始终信任”。双击证书,展开“信任”部分,确保所有选项都设置为“始终信任”。
总结
ServBay CA 是 ServBay 为本地 Web 开发提供的强大工具,它简化了在 macOS 环境下使用 HTTPS 的过程。通过本文介绍的方法,您可以有效地管理 ServBay CA 签发的 SSL 证书,包括申请、续期、导出、删除,并在遇到证书错误时进行排查和修复。正确配置和管理 ServBay CA,将助您构建更安全、更接近生产环境的本地开发工作流。