这是一个创建于 2507 天前的主题,其中的信息可能已经有所发展或是发生改变。
本机没导入证书之前
不能访问
导入之后
chrome63.0.3239.84 提示不安全 (红字)
IE11 没提示(第一次访问会提示 确认以后就没了)
360 极速 9.0.1.152 直接无法访问 打不开 和断网一样
 |
1
alect 2018-01-05 17:27:01 +08:00  1
自签发的 CA 根证书放入位置正确吗? 受信任的根证书办法列表
|
 |
3
hljjhb 2018-01-05 18:01:17 +08:00 via Android
需要具体看下报错原因
可能是算法不安全 |
 |
4
honeycomb 2018-01-05 18:09:35 +08:00
只有“提示不安全 (红字)”不足以说明具体情况
请告知具体内容,这样大家能帮助你分析。 |
 |
5
hxsf 2018-01-05 18:15:19 +08:00 1
我猜:
1. 证书没 SAN 2. 证书还是 sha1 这种已经被标记为不安全的算法。 |
 |
6
loginv2 OP 证书是 SHA256 的 SAN 是啥?我现在怀疑是不是自签的都这样了
|
 |
7
h4lbhg1G 2018-01-05 18:52:31 +08:00
证书的位置对么?我记得按照 Streisand 里面的那个导入证书,是可用的(现在虽然已经不用它了),导入后好像还要勾选用途还是啥。
|
|
8
loginv2 OP 没有选用途,提示不安全无所谓,就是不知道现在加密有效没
|
|
9
h4lbhg1G 2018-01-05 18:58:01 +08:00 1
加密有效没是看你网站那边的配置啊,其实不导入证书 IE 都是可以强行访问的,也是加密的。只是中间人攻击你没法发现而已。
我估计多半是证书生成的时候参数不大对 |
|
10
loginv2 OP 不导入证书没法访问,我开了双向认证。如果是加密的,那就算了,凑合用吧
|
|
11
h4lbhg1G 2018-01-05 19:06:12 +08:00
哦 双认证我倒是没配置过。话说 Let's Encrypt 签名的证书,是不是不能作为客户端的证书?
|
|
12
loginv2 OP @h4lbhg1G 没试过,我现在就是不想让无关系的人访问,关了 http,ssl 强制客户端使用自签证书
|
|
14
h4lbhg1G 2018-01-05 19:22:21 +08:00 1
@loginv2 找了下有这个 https://www.v2ex.com/t/318910 可以用 letsencrypt 的证书自己签名一个客户端证书。
其实这种情况我自己一般有两种方法,一个是服务挂在 127.0.0.100 这种 ip 上,然后 vpn,vpn 只能证书访问;另一个简单点用 letsencrypt 加密后直接加一个复杂点的 basic-auth 的密码。 |
 |
16
chinvo 2018-01-05 19:27:27 +08:00
@h4lbhg1G 客户端证书随意,只要你在服务器信任这个客户端证书就好。比如你可以生成一个 self-signed CA,用这个 CA 去给客户端签证书,你只需要在服务端设置信任这个 CA
|
|
17
chinvo 2018-01-05 19:28:34 +08:00
@h4lbhg1G 你找到的这个 4 楼就有提到 https://www.v2ex.com/t/318910#r_3734258
|
 |
19
flynaj 2018-01-06 22:14:03 +08:00 via Android
证书链
|
Select Language