服务器证书也就是SSL证书,不受信任的原因很多,具体分析如下:
第一种、证书过期
SSL证书都是有有效期的,如果站长购买后部署了证书,然后就忘记了证书这一件事情。等到有一天突然有用户说,你们的网站怎么显示的红色警告图标。这时候才开始排查问题,那么首先应该检查的就是证书是否过了有效期,如果过了有效期,证书应该及时续费或者使用其他证书,最好是在证书快要过期前的一两周续费,以免影响网站后续的使用。如果证书被吊销,也会显示日期过期,这种要立刻联系证书提供商,查找吊销原因,及时解决。
第二种、证书来自不信任的CA机构
CA机构就是证书的颁发机构。如果对SSL证书有所了解,那么大家应该知道,证书是任何人都可以发布的,我们可以自己给自己的网站颁发证书,我们也可以把我们自己制作的证书给别人安装。这种证书是完全不需要成本的,只需要你对证书有一定的了解,但是这种证书是默认不受其他客户端信任的,通常客户端会提示“该证书来自不信任的CA机构”。目前全球权威CA机构有Symantec、GeoTrust、Comodo以及RapidSSL等多家。
第三种、户端不支持SNI协议
一般这种情况发生在Windows XP系统中,安卓42以下版本也会发生这种情况,大多数原因是因为这些系统时代太久远了,目前使用的人数非常之少,也不建议大家使用。这些比较古老的系统中大多是不支持SNI(Server Name Indication,服务器名字指示)协议的,不过目前主流的 *** 作系统都是支持这个协议的,大家也不用太担心。
第四种、证书的不完整
在申请证书的时候,经常会由于用户的疏忽或者是第一次申请,不是很懂,导致没有完全看懂申请规则,这样在申请时候就会导致域名匹配不正确,所以在申请的时候一定要看清楚,认真填写。
创建自签名证书的步骤
注意:以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步:生成私钥
使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out serverkey 2048
说明:生成rsa私钥,des3算法,2048位强度,serverkey是秘钥文件名。
注意:生成私钥,需要提供一个至少4位的密码。
第2步:生成CSR(证书签名请求)
生成私钥之后,便可以创建csr文件了。
此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书(很贵)。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名,具体 *** 作如下:
$ openssl req -new -key serverkey -out servercsr
说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持>SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA(如GlobalSign,wosign),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数位签名又名数字标识、签章 (即 Digital Certificate,Digital ID ),提供了一种在网上进行身份验证的方法,是用来标志和证明网路通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份z相似。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)