Cum de a face certificatul ssl de încredere, Pavel Ruban
Cum de a face certificatul dvs. SSL este de încredere
Când ridicați instanța locală pentru dezvoltarea și există nevoie de SSL, mesajul constant vylaziet spunând că conexiunea SSL nu este verificată, iar browser-ul oferă pentru a anula cererea, sau, de exemplu, dacă utilizați servicii de găzduire și nu doresc să cumpere un certificat pentru bani. Acest articol va fi examinat ca o modalitate de a face certificatul de încredere (verde) și pentru a evita avertismentele brazuera în fiecare zi.
Mesajul de eroare reală arată astfel:
De ce se întâmplă acest lucru? Acest lucru se întâmplă pentru că ați creat un certificat SSL și certificatul este nesemnate sau oricine, sau el încă semnat, dar browser-ul nu are încredere o semnătură care este semnat certificatul. Ie Această conexiune utilizează protocolul de criptare, și este protejat, dar nu este clar dacă poți avea încredere în serverul de la distanță în cazul în care puteți trimite datele importante protejate criptografic.
Cu alte cuvinte, certificat de client SSL există și un certificat SSL, care este semnat de certificatul (Client), care utilizează un server web sau o altă aplicație care protejează datele utilizând SSL. El a numit CA - certificat de autoritate certificat.
Acest lucru înseamnă că există un fel de comunitate, care și-a pus semnătura sa (certificatul CA) cuiva certificat de altcineva (certificat de client) și spune că este sigur și oamenii sau mașinile care utilizează acest certificat (Client) (semnat de certificatul CA) vă poate fi de încredere. Dar browser-ul dvs. nu crede această comunitate în cazul în care nu se adaugă la lista inițială a comunităților pe care browser-ul are încredere instalarea implicită.
Puteți face simplu - spune browser - cred că această comunitate, adică, responsabilitatea pentru încrederea pe care ia spune - cred că această comunitate, browser-ul sau orice alt client SSL va asculta și de orice certificate semnate de certificatul CA SSL pe care l-ați adăugat în browser-ul va fi afișat în verde - adică, ca fiind de încredere.
Care este problema aici? Problema este că alte persoane care folosesc resursa peste SSL, în mod implicit, nu va avea încredere în certificatul CA creat și un mesaj de eroare. Cu toate acestea, în cazul în care aveți o rețea corporativă pe care acest certificat poate fi de încredere, în același loc și toți clienții de rețea nu vor avea probleme.
De asemenea, dacă doriți toți clienții de rețea implicit încredere în resursele, cum este posibil s-ar putea fi ghicit, trebuie să aveți un certificat SSL, care este semnat de către comunitate, care este trusturile browser-ul implicit.
Poate, dar nu e sigur - există o modalitate în certificatul de Client pentru a face astfel încât browser-ul trimite o cerere pentru un vot de încredere pe server, care este listat în Client certificatul SSL nu pentru a regla de fiecare dată când rețeaua lor și să mărească pe serviciul de server, care este de a spune că încrederea CA dvs. certificat, dar aceste informații nu sunt corecte și se pare îndoielnic. pentru că functioneaza un pic diferit - inițial browser-ul are încredere un anumit comunități CA și la verificarea tunel SSL, browser-ul în certificatul care este utilizat de tunel verifica o semnătură, dacă este, interogări toate CA de încredere în posibilitatea de a avea încredere în acest certificat CA al tunelului, care a fost semnat de certificat de client SSL care utilizează tunelul. La rândul său, fiecare CA soobschetvo (predefinite în browser-ul) poate avea un sistem de copac cum ar fi, de exemplu, poate delega dreptul de a semna (încredere) alte CA minore, și că, la rândul său, o alta, și așa mai departe, și dacă unul dintre ei are incredere in principal CA spune că certificatul este de încredere, cererea este trimisă înapoi pe scări către AC original și răspunde la browser-ul dvs. - da, certificatul este securizat.
Adică, pentru a face să funcționeze, fie la nivel local sau la nivel global trebuie să înceapă să aibă un certificat de client SSL și certificatul SSL CA pe care trebuie să semneze certificatul de client SSL. Restul este la fel cum ai încredere certificat CA, printr-un intermediar sau de mână să-l facă în browser-ul în sine, dar prima etapă a acestui proces sunt comune acestor două soluții.
Deoarece studiul în continuare a temei - modul de a face certificatul implicit de încredere de către toți utilizatorii rețelei (la nivel global) nu este problema mea (și se pare îndoielnic decât dacă treci procedura necesară în CA de încredere, sau să semneze CA-ul din certificatul CA), nu fac a studiat această întrebare în acest context, dar de mai jos voi împărtăși cu voi modul de a face conexiunile de procurii (așa cum este menționat în prima parte a intrării - și anume crearea unui cA, să semneze propriul certificat SSL, și adăugați manual cA pe care le semna certificatul SSL în sutien Uzer ca fiind de încredere).
Pe această parte a cheile noastre gata, chei private pentru cineva care nu trebuie să treacă altfel dau cheia de la casa lui în mâini greșite. Dar certificatele publice (de exemplu, CA certificatul SSL) pot fi transferate către terțe părți astfel încât acestea să poată adăuga acest certificat ca fiind de încredere și atunci când acestea vor merge la o resursă care utilizează certificatul de client SSL semnat de CA dumneavoastră certificatul SSL, browser-ul va avea acces la CA autorizate sunt acolo în avans a adăugat (certificat cA publis SSL) și știu că CONCATENATE este setat la un membru de încredere.
