Ⅰ 怎么自己生成SSL证书并且在服务器里配置
不起作用,并不会被浏览器信任,反而增加了很多不安全因素。
创建自签名证书的步骤
注意:以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步:生成私钥
使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out server.key 2048
说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。
注意:生成私钥,需要提供一个至少4位的密码。
第2步:生成CSR(证书签名请求)
生成私钥之后,便可以创建csr文件了。
此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书(很贵)。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名,具体操作如下:
$ openssl req -new -key server.key -out server.csr
说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:删除私钥中的密码
在第1步创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次Apache启动Web服务器时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自签名证书
如果你不想花钱让CA签名,或者只是测试SSL的具体实现。那么,现在便可以着手生成一个自签名的证书了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
说明:crt上有证书持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。证书上会说明用途,例如服务器认证,客户端认证,或者签署其他证书。当系统收到一份新的证书的时候,证书会说明,是由谁签署的。如果这个签署者确实可以签署其他证书,并且收到证书上的签名和签署者的公钥可以对上的时候,系统就自动信任新的证书。
第5步:安装私钥和证书
将私钥和证书文件复制到Apache的配置目录下即可,在Mac 10.10系统中,复制到/etc/apache2/目录中即可。
需要注意的是,在使用自签名证书时,浏览器会提示证书不受信任,如果你是对外网站使用,建议还是去CA机构申请可信的SSL证书。
Ⅱ 服务器证书不受信任怎么解决
服务器证书也就是SSL证书,不受信任的原因很多,具体分析如下:
第一种、证书过期
SSL证书都是有有效期的,如果站长购买后部署了证书,然后就忘记了证书这一件事情。等到有一天突然有用户说,你们的网站怎么显示的红色警告图标。这时候才开始排查问题,那么首先应该检查的就是证书是否过了有效期,如果过了有效期,证书应该及时续费或者使用其他证书,最好是在证书快要过期前的一两周续费,以免影响网站后续的使用。如果证书被吊销,也会显示日期过期,这种要立刻联系证书提供商,查找吊销原因,及时解决。
第二种、证书来自不信任的CA机构
CA机构就是证书的颁发机构。如果对SSL证书有所了解,那么大家应该知道,证书是任何人都可以发布的,我们可以自己给自己的网站颁发证书,我们也可以把我们自己制作的证书给别人安装。这种证书是完全不需要成本的,只需要你对证书有一定的了解,但是这种证书是默认不受其他客户端信任的,通常客户端会提示“该证书来自不信任的CA机构”。目前全球权威CA机构有Symantec、GeoTrust、Comodo以及RapidSSL等多家。
第三种、户端不支持SNI协议
一般这种情况发生在Windows XP系统中,安卓4.2以下版本也会发生这种情况,大多数原因是因为这些系统时代太久远了,目前使用的人数非常之少,也不建议大家使用。这些比较古老的系统中大多是不支持SNI(Server Name Indication,服务器名字指示)协议的,不过目前主流的操作系统都是支持这个协议的,大家也不用太担心。
第四种、证书的不完整
在申请证书的时候,经常会由于用户的疏忽或者是第一次申请,不是很懂,导致没有完全看懂申请规则,这样在申请时候就会导致域名匹配不正确,所以在申请的时候一定要看清楚,认真填写。
Ⅲ 有什么办法可以有效应对伪造的SSL证书
网站直接使用OV或者EV类型证书。
防止伪造SSL证书解决办法:
解决办法:严格的CAA模式实名类型的SSL证书就可以满足。
Ⅳ 如何给fiddler安装http证书
第一步, fiddler向服务器发送请求进行握手, 获取到服务器的CA证书, 用根证书公钥进行解密, 验证服务器数据签名, 获取到服务器CA证书公钥。
第二步, fiddler伪造自己的CA证书, 冒充服务器证书传递给客户端浏览器, 客户端浏览器做跟fiddler一样的事。
第三步, 客户端浏览器生成https通信用的对称密钥, 用fiddler伪造的证书公钥加密后传递给服务器, 被fiddler截获。
第四步, fiddler将截获的密文用自己伪造证书的私钥解开, 获得https通信用的对称密钥。
第五步, fiddler将对称密钥用服务器证书公钥加密传递给服务器, 服务器用私钥解开后建立信任, 握手完成, 用对称密钥加密消息, 开始通信。
第六步, fiddler接收到服务器发送的密文, 用对称密钥解开, 获得服务器发送的明文。再次加密, 发送给客户端浏览器。
第七步, 客户端向服务器发送消息, 用对称密钥加密, 被fidller截获后, 解密获得明文。
由于fiddler一直拥有通信用对称密钥, 所以在整个https通信过程中信息对其透明。
Ⅳ 可以截获HTTPS服务器证书,冒充服务器么
不可以,如果地址栏非信任证书,那么说明当前页面是不合法的。
Ⅵ 根不预埋的服务器证书有什么隐患