单从技术标准上讲，可以自签名出有效的 *.local 这类证书吗？

可以试试 mkcert

@biabia123456 我用的 XCA ，允许签，只是单纯好奇浏览器认可不认可，一会儿我试试

手动把 CA 加到系统 CA 列表里就认，否则不认。

建议去了解一下 ca 证书以及 TLS 协议相关的原理。

如果是使用标准的技术签发的证书，浏览器认不认只看签发证书的 ca 机构是否在浏览器的信任列表里，一般操作系统和浏览器默认都带有一个全球权威 CA 机构的列表，在这个列表里的 CA 机构签发的有效期的证书，并且证书内容和域名啥的一致，浏览器都会显示可信。

你也可以把自己创建的 CA 机构证书导入到本地的信任列表里，这样子就行了。当然，大部分使用自签证书的人，会在浏览器报不可信时，直接选择信任继续访问就是了。

签不出，你过不了所有权验证。

你公司的域名的子域名也可以指向内网 ip ，又没强制你一定要指向公网 ip 。

@leoleoleo
@dynos01
嗯嗯谢谢，刚刚试了下是可以的，Chrome 看系统的证书信任区，FireFox 用浏览器内置的 Mozilla 维护的证书信任区，加到本地信任区这个我知道，测试了下完全没问题，包括公网访问。

> 其实之前写过一个文章，只是没测试过能不能直接签一个 TLD 这么玩 🤣
> https://zikin.org/xca/