当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
1 楼 
 文章标题 : SSL自签名证书问题
帖子发表于 : 2009-01-02 18:12 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
根据文章,可以
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
sign.sh server.csr
得到server.crt

既然ca.crt可以那样做出,那么
openssl req -new -x509 -days 365 -key server.key -out server.crt
有啥不同的?

sign.sh都做了啥(我没有,所以看不到),和
openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365
有啥区别?


页首
 用户资料  
 
2 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-02 18:54 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
感觉
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt -CAcreateserial
才是对的,做了一次,果然,因为这个是把ca的信息加到server.crt里了。(要的就是用ca给这个server.csr签名、签发)

可那openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365又是做了啥? "-clrext"去除了扩展项’


页首
 用户资料  
 
3 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-03 22:31 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
自签名证书,自己给自己签的server、client证书,自签名,自己作CA...
什么乱七八糟的,概念可能和你想的不一样哦;
openssl req 本指令用来创建和处理PKCS#10格式的证书.它还能够建立自签名证书,做Root CA.
openssl req -new ... 主要是作出请求文件csr的;
openssl req -new -x509 ... 主要是做自签名的crt的,做出自己的Root CA(证)

openssl x509 本指令是一个功能很丰富的证书处理工具。可以用来显示证书的内容,转换其格式,给CSR签名等等
openssl x509 ...-signkey filename ... 本指令可以用来处理CSR和给证书签名,就象一个CA; (应该加扩展项目)
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial 由CA签发个证书,最好加扩展项目来控制

作CA机器,又不同,因为还要维护datebase...
所以签发crt,还是用CA.sh -newca建立环境,用openssl ca ...来签发(或CA.sh -sign)。

客户,个人...
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

未完...

详见http://www.chinaunix.net/jh/13/478901.html吧


页首
 用户资料  
 
4 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-06 22:31 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
难道非要回到win、看winer的文章,才方便,才明白?

http://www.blogjava.net/sham2k/articles/163985.html


页首
 用户资料  
 
5 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-11 16:37 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
另几个有用的文:

Apache HTTP Server 版本2.2:
http://lamp.linux.gov.cn/Apache/ApacheM ... echainfile

http://bbs.linuxpk.com/viewthread.php?t ... typeid%3D7


页首
 用户资料  
 
6 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-11 21:34 
头像

注册: 2008-05-06 17:17
帖子: 65
地址: 安徽宿州
送出感谢: 0 次
接收感谢: 0 次
在建立的https://myhost打开后.老是提示"尚未验证网站的身份"..

该如何做呢? :em20 难道必须要去买Versign签名? 太贵了..

有办法么?

自签的(不是自己的CA签的),subject和issuer相同,那么就认为是ca根证,装了就没那提示了;
或者用自己的ca签一下,再装上自己的这个根。

另外,client这边server证书用装么?不显示的在装也ok,但是为安全来说,装还是不装?
还有谁说的csr,crt,key都要400权限?那样我还怎么签?怎么work?


_________________
学习永无止尽! ~linux小菜鸟!


最后由 yj98 编辑于 2009-01-12 21:31,总共编辑了 1 次

页首
 用户资料  
 
7 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-11 21:43 
头像

注册: 2008-05-06 17:17
帖子: 65
地址: 安徽宿州
送出感谢: 0 次
接收感谢: 0 次
不知道我理解的对不对. ?

如果你的证书没到专门受信任的第三方证书颁发机构的确认. 那么在客户使用浏览器打开时就会始终提示"尚未验证网站身份"..

而像支付宝这样的网站已经购买申请了受信任的证书颁发机构的认证, 所以客户打开其站点从而不会提示"尚未验证"

至于我们这样的个人站点,如果你不花钱申请认证, 那做不做上面的:"自签名证书,自己给自己签的server、client证书,自签名,自己作CA" 都无所谓. ???

理解的对否?


_________________
学习永无止尽! ~linux小菜鸟!


页首
 用户资料  
 
8 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2009-01-11 22:09 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
想做得比较像,就做出个CA,再像就要保持数据库,已加强信任感;
若仅仅自己签自己,那么那么就只有一个站点有证书了,说信任后以后就不会再看到提示;
若有CA,哪怕是自己的,那么把根证书装在客户那里,那么以后这个ca签的就都通过,没有提示的;
也就是因为有这个根证,客户证书才可以被认证。

没CA的(自己签自己的),都有一个“自己签自己的提示”,但是记得有一次是全绿色的对钩的,可能是把这个证书装到可信任的签发机构了吧。


页首
 用户资料  
 
9 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 20:40 
头像

注册: 2008-12-09 12:44
帖子: 3864
地址: 北京
送出感谢: 0 次
接收感谢: 2
从坟里挖出这个贴子来,但最终没看懂……


_________________
Pity is the bomp!
活着就是折腾!生命不息,折腾不止!
看这帮家伙在干什么?@pityonline/u
Dropbox+Vps+PC 跑起来了!这是邀请链接


页首
 用户资料  
 
10 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 20:52 

注册: 2008-01-09 22:41
帖子: 18311
送出感谢: 0 次
接收感谢: 6
先去吃饭了,一会回来再解决


页首
 用户资料  
 
11 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 21:07 
头像

注册: 2008-03-25 15:49
帖子: 25876
地址: 谁知道?
送出感谢: 8
接收感谢: 10
pityonline 写道:
从坟里挖出这个贴子来,但最终没看懂……

原来我推错了 :em04


页首
 用户资料  
 
12 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 21:46 

注册: 2008-01-09 22:41
帖子: 18311
送出感谢: 0 次
接收感谢: 6
大概看了下,好复杂好纠结

怎么说好呢,简单地说,就是自己签ca,签证书,服务器与浏览器间通信也是加密的,而且强度等可以自己选择,自由性比较高

浏览器请求到证书,就一级一级向上找签发,直到找到root,如果root是受信任的,那么没有任何提示,直接加密。但是由于自己签发的ca不是浏览器信任的,所以你的证书 浏览器不会信任,所有浏览器都会提示证书出现问题,你需要很大的耐心去和客户解释证书问题

尤其是chromium,最为过分,红色背景,弄得好想网站被攻击似的,所以我的建议是:要不就不要弄证书,要不就买正宗的ssl证书,尽量不要自己签


页首
 用户资料  
 
13 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 22:03 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
就是用可信方签过的根证书来签自己的证书,做前不是要自己先测试测试嘛;

根证书有这个好处,若你有不止一个证书的话,那么被自己的ca签过的都会被承认;

现在就是没做过撤消证书了....


页首
 用户资料  
 
14 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 22:05 
头像

注册: 2007-12-09 22:36
帖子: 841
送出感谢: 0 次
接收感谢: 0 次
pityonline 写道:
从坟里挖出这个贴子来,但最终没看懂……

很仔细的从楼顶看下来,没看懂,然后看到这儿,才发现:老帖了。 :em06


_________________
一向很正直,向来不正经。
My Blog:http://bobobo80.com/
Follow me


页首
 用户资料  
 
15 楼 
 文章标题 : Re: SSL自签名证书问题
帖子发表于 : 2010-07-11 22:13 
头像

注册: 2008-12-09 12:44
帖子: 3864
地址: 北京
送出感谢: 0 次
接收感谢: 2
等于自己生成的ssl证书不购买认证过的证书都是白搭了……

以前startssl.com可以申请一年免费的证书,但今天我申请两次都不成功,那网站也改版了,跟网上教程不一样了……


_________________
Pity is the bomp!
活着就是折腾!生命不息,折腾不止!
看这帮家伙在干什么?@pityonline/u
Dropbox+Vps+PC 跑起来了!这是邀请链接


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译