SSL 双向认证 自签 CA 导入证书以后 为什么浏览器还是提示不安全

2018-01-05 16:57:24 +08:00
 loginv2

本机没导入证书之前

不能访问

导入之后

chrome63.0.3239.84 提示不安全 (红字)

IE11 没提示(第一次访问会提示 确认以后就没了)

360 极速 9.0.1.152 直接无法访问 打不开 和断网一样

3909 次点击
所在节点    问与答
19 条回复
alect
2018-01-05 17:27:01 +08:00
自签发的 CA 根证书放入位置正确吗? 受信任的根证书办法列表
loginv2
2018-01-05 17:34:47 +08:00
@alect 对啊,就是那个
hljjhb
2018-01-05 18:01:17 +08:00
需要具体看下报错原因

可能是算法不安全
honeycomb
2018-01-05 18:09:35 +08:00
只有“提示不安全 (红字)”不足以说明具体情况

请告知具体内容,这样大家能帮助你分析。
hxsf
2018-01-05 18:15:19 +08:00
我猜:

1. 证书没 SAN

2. 证书还是 sha1 这种已经被标记为不安全的算法。
loginv2
2018-01-05 18:39:18 +08:00
证书是 SHA256 的 SAN 是啥?我现在怀疑是不是自签的都这样了
h4lbhg1G
2018-01-05 18:52:31 +08:00
证书的位置对么?我记得按照 Streisand 里面的那个导入证书,是可用的(现在虽然已经不用它了),导入后好像还要勾选用途还是啥。
loginv2
2018-01-05 18:55:50 +08:00
没有选用途,提示不安全无所谓,就是不知道现在加密有效没
h4lbhg1G
2018-01-05 18:58:01 +08:00
加密有效没是看你网站那边的配置啊,其实不导入证书 IE 都是可以强行访问的,也是加密的。只是中间人攻击你没法发现而已。
我估计多半是证书生成的时候参数不大对
loginv2
2018-01-05 19:02:09 +08:00
不导入证书没法访问,我开了双向认证。如果是加密的,那就算了,凑合用吧
h4lbhg1G
2018-01-05 19:06:12 +08:00
哦 双认证我倒是没配置过。话说 Let's Encrypt 签名的证书,是不是不能作为客户端的证书?
loginv2
2018-01-05 19:14:29 +08:00
@h4lbhg1G 没试过,我现在就是不想让无关系的人访问,关了 http,ssl 强制客户端使用自签证书
chinvo
2018-01-05 19:22:01 +08:00
@h4lbhg1G le 是 DV 证书啊,客户端证书要 Email 证书之类的
h4lbhg1G
2018-01-05 19:22:21 +08:00
@loginv2 找了下有这个 https://www.v2ex.com/t/318910 可以用 letsencrypt 的证书自己签名一个客户端证书。

其实这种情况我自己一般有两种方法,一个是服务挂在 127.0.0.100 这种 ip 上,然后 vpn,vpn 只能证书访问;另一个简单点用 letsencrypt 加密后直接加一个复杂点的 basic-auth 的密码。
h4lbhg1G
2018-01-05 19:24:43 +08:00
@chinvo 这样啊,如果服务端的证书 le 签名了,客户端用自签名会有问题么?
chinvo
2018-01-05 19:27:27 +08:00
@h4lbhg1G 客户端证书随意,只要你在服务器信任这个客户端证书就好。比如你可以生成一个 self-signed CA,用这个 CA 去给客户端签证书,你只需要在服务端设置信任这个 CA
chinvo
2018-01-05 19:28:34 +08:00
@h4lbhg1G 你找到的这个 4 楼就有提到 https://www.v2ex.com/t/318910#r_3734258
msg7086
2018-01-06 02:24:37 +08:00
@h4lbhg1G 客户端好像一般都是自签名?
flynaj
2018-01-06 22:14:03 +08:00
证书链

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/420391

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX