Ⅰ 怎麼自己生成SSL證書並且在伺服器里配置
不起作用,並不會被瀏覽器信任,反而增加了很多不安全因素。
創建自簽名證書的步驟
注意:以下步驟僅用於配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
$ openssl genrsa -des3 -out server.key 2048
說明:生成rsa私鑰,des3演算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
$ openssl req -new -key server.key -out server.csr
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web伺服器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麼,現在便可以著手生成一個自簽名的證書了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如伺服器認證,客戶端認證,或者簽署其他證書。當系統收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統中,復制到/etc/apache2/目錄中即可。
需要注意的是,在使用自簽名證書時,瀏覽器會提示證書不受信任,如果你是對外網站使用,建議還是去CA機構申請可信的SSL證書。
Ⅱ 伺服器證書不受信任怎麼解決
伺服器證書也就是SSL證書,不受信任的原因很多,具體分析如下:
第一種、證書過期
SSL證書都是有有效期的,如果站長購買後部署了證書,然後就忘記了證書這一件事情。等到有一天突然有用戶說,你們的網站怎麼顯示的紅色警告圖標。這時候才開始排查問題,那麼首先應該檢查的就是證書是否過了有效期,如果過了有效期,證書應該及時續費或者使用其他證書,最好是在證書快要過期前的一兩周續費,以免影響網站後續的使用。如果證書被吊銷,也會顯示日期過期,這種要立刻聯系證書提供商,查找吊銷原因,及時解決。
第二種、證書來自不信任的CA機構
CA機構就是證書的頒發機構。如果對SSL證書有所了解,那麼大家應該知道,證書是任何人都可以發布的,我們可以自己給自己的網站頒發證書,我們也可以把我們自己製作的證書給別人安裝。這種證書是完全不需要成本的,只需要你對證書有一定的了解,但是這種證書是默認不受其他客戶端信任的,通常客戶端會提示「該證書來自不信任的CA機構」。目前全球權威CA機構有Symantec、GeoTrust、Comodo以及RapidSSL等多家。
第三種、戶端不支持SNI協議
一般這種情況發生在Windows XP系統中,安卓4.2以下版本也會發生這種情況,大多數原因是因為這些系統時代太久遠了,目前使用的人數非常之少,也不建議大家使用。這些比較古老的系統中大多是不支持SNI(Server Name Indication,伺服器名字指示)協議的,不過目前主流的操作系統都是支持這個協議的,大家也不用太擔心。
第四種、證書的不完整
在申請證書的時候,經常會由於用戶的疏忽或者是第一次申請,不是很懂,導致沒有完全看懂申請規則,這樣在申請時候就會導致域名匹配不正確,所以在申請的時候一定要看清楚,認真填寫。
Ⅲ 有什麼辦法可以有效應對偽造的SSL證書
網站直接使用OV或者EV類型證書。
防止偽造SSL證書解決辦法:
解決辦法:嚴格的CAA模式實名類型的SSL證書就可以滿足。
Ⅳ 如何給fiddler安裝http證書
第一步, fiddler向伺服器發送請求進行握手, 獲取到伺服器的CA證書, 用根證書公鑰進行解密, 驗證伺服器數據簽名, 獲取到伺服器CA證書公鑰。
第二步, fiddler偽造自己的CA證書, 冒充伺服器證書傳遞給客戶端瀏覽器, 客戶端瀏覽器做跟fiddler一樣的事。
第三步, 客戶端瀏覽器生成https通信用的對稱密鑰, 用fiddler偽造的證書公鑰加密後傳遞給伺服器, 被fiddler截獲。
第四步, fiddler將截獲的密文用自己偽造證書的私鑰解開, 獲得https通信用的對稱密鑰。
第五步, fiddler將對稱密鑰用伺服器證書公鑰加密傳遞給伺服器, 伺服器用私鑰解開後建立信任, 握手完成, 用對稱密鑰加密消息, 開始通信。
第六步, fiddler接收到伺服器發送的密文, 用對稱密鑰解開, 獲得伺服器發送的明文。再次加密, 發送給客戶端瀏覽器。
第七步, 客戶端向伺服器發送消息, 用對稱密鑰加密, 被fidller截獲後, 解密獲得明文。
由於fiddler一直擁有通信用對稱密鑰, 所以在整個https通信過程中信息對其透明。
Ⅳ 可以截獲HTTPS伺服器證書,冒充伺服器么
不可以,如果地址欄非信任證書,那麼說明當前頁面是不合法的。
Ⅵ 根不預埋的伺服器證書有什麼隱患