如果证书不是由受信任的 CA 签发的,则连接设备(例如,网页浏览器)将检查发行 CA 的证书是否由可信 CA 颁发,等等,直到找到可信 CA 为止 (此时将建立可信的安全连接),或者找不到可信的 CA(此时设备通常会显示错误)。
SSL 证书列表(从根证书到最终用户证书)代表 SSL 证书链。
这是一个实际的例子。 假设您从 Awesome Authority 购买域 exampleawesome 的证书。
Awesome Authority 不是根证书颁发机构。 换句话说,它的证书并不直接嵌入到您的 Web 浏览器中,因此它不能被明确信任。
在我们的示例中,SSL 证书链由 6 个证书表示:
证书 1 是您的最终用户证书,即您从 CA 购买的证书。 从 2 到 5 的证书称为中间证书。 证书 6,即位于链条顶部的链接称为根证书。
当您为 exampleawesome 安装最终用户证书时,必须捆绑所有中间证书并将它们与最终用户证书一起安装。 如果SSL证书链无效或损坏,则某些设备不会信任您的证书。
不用。根证书通常嵌入您的连接设备中。 在 Web 浏览器的情况下,根证书与浏览器软件一起打包。
安装中级 SSL 证书的过程取决于 Web 服务器和安装证书的环境。
例如,Apache 要求您捆绑中间 SSL 证书,并将该包的位置指定给 SSLCertificateChainFile 配置项。 而 Nginx 要求您将中间 SSL 证书与最终用户证书打包在一个包中。
我们提供一个证书安装向导,其中包含多个服务器和平台的安装说明。 如果您向我们购买证书,您将能够 使用此向导获取并安装服务器所需的文件 。
如果您的服务器不在向导中,您仍然可以通过它获取正确的文件,然后按照 Web 服务器的文档来确定如何正确安装域证书和中间证书。
如果您未安装一个或多个中级 SSL 证书,则会破坏证书链。 这意味着您在特定(最终用户或中间)证书与其颁发者之间建立了缝隙。 当设备找不到证书的受信任颁发者时,证书和从中间证书直到最终证书的整个链都不可信。
因此,您的最终证书不会被信任。 Web浏览器将显示“无效证书”或“证书不可信”错误。
这不可能。 缩短链条的唯一方法是将中间证书提升为根。 理想情况下,您应该推广代表您的证书颁发机构的证书,这样该链只包含两个证书。
但是,根证书与浏览器软件一起打包,如果不是来自浏览器维护人员,则不能更改该列表。
某些浏览器可能会抱怨由非知名证书颁发机构签署的证书,而其他浏览器可能会接受证书而没有问题。 发生这种情况的原因,是颁发机构使用中间证书对服务器证书进行了签名,该中间证书不在与特定浏览器一起分发的知名的的受信任证书颁发机构的证书库中。 在这种情况下,权威机构提供一系列链接的证书,这些证书应连接到已签署的服务器证书。 服务器证书必须出现在组合文件中的链接证书之前:
生成的文件应该在 ssl_certificate 指令中使用:
如果服务器证书和软件包已按照错误顺序连接,Nginx 将无法启动并显示错误消息:
因为 Nginx 已经尝试将私钥与该包的第一个证书一起使用,而不是服务器证书。
浏览器通常存储他们收到的中间证书并由受信任的机构签名,因此主动使用的浏览器可能已经具有所需的中间证书,并且可能不会抱怨没有链接包发送的证书。 为确保服务器发送完整的证书链,可以使用 openssl 命令行实用程序,例如:
(完)SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
SSL证书的主要功能有:
一、通过对传输层进行128-256位加密,确保网络传输数据安全。使用>SSL证书是数字证书的一种,由可信的CA机构颁发,是专门应用于网站服务器的证书,具有加密传输和身份认证的功能,SSL证书依托网络安全通信协议,通过在客户端浏览器与WEB服务器之间建立一条SSL安全通道,帮助网站从>服务器证书(Server Certificates)组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得,并为用户 提供验证您Web站点身份的手段。服务器证书包含详细的身份验证信息,如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。这意味着服务器证书确保用户关于web服务器内容的验证,同时意味着建立安全的>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)