在 Raspberry Pi 上使用 mkcert 為 cockpit 建立證書，並設定到伺服器（cockpit）與瀏覽器的方法

執行環境

以下環境確認過可用：

• Raspberry Pi 5
• AlmaLinux

各證書的意義

• raspberrypi.pem: 伺服器證書（公鑰）
  這個證書是針對主機名稱 raspberrypi 所簽發的 SSL 證書。像是網頁瀏覽器等用戶端會用它來驗證伺服器的正當性。（安裝於伺服器）
• raspberrypi+1.pem: 伺服器證書（公鑰）
  這個證書是針對 raspberrypi <IP 位址> 這類主機名稱所簽發的 SSL 證書。同上
• raspberrypi-key.pem:
  與 raspberrypi.pem 對應的私鑰。由伺服器端持有，用於 SSL 通信的加解密。絕對不可外洩。（安裝於伺服器）
• raspberrypi+1-key.pem:
  與 raspberrypi+1.pem 對應的私鑰。由伺服器端持有，用於 SSL 通信的加解密。絕對不可外洩。同上
• rootCA.pem: 本地根憑證（公鑰）
  由 mkcert 自動產生的本地 CA（憑證機構）憑證。將此憑證安裝到用戶端（例如瀏覽器）後，即可將 raspberrypi.pem 視為可被信任的憑證。
• rootCA-key.pem: 本地 CA 的私鑰
  與 rootCA.pem 對應的私鑰，供 mkcert 用來簽署伺服器證書（例如 raspberrypi.pem）。這是 mkcert 內部使用的，通常不需要手動操作。

證書的產生

使用 mkcert 指令來產生證書。產生後部署到伺服器。

mkcert raspberrypi <IP アドレス>

sudo cp raspberrypi+1-key.pem /etc/cockpit/ws-certs.d/raspberrypi.key
sudo cp raspberrypi+1.pem /etc/cockpit/ws-certs.d/raspberrypi.crt
sudo systemctl restart cockpit

確認本地根憑證的位置

確認要安裝到電腦的根 CA 憑證所在位置。

mkcert -CAROOT

將根憑證複製到 PC

將根憑證複製到電腦。

scp raspberrypi:/home/<USER>/.local/share/mkcert/rootCA.pem .
cp rootCA.pem rootCA.cer

在 Windows 上註冊憑證

開啟 rootCA.cer，在憑證存放區將憑證新增到「受信任的根憑證機構」。

在 Android 裝置上註冊憑證

將 rootCA.pem 移到裝置，然後從設定中安裝註冊。