V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
loginv2
V2EX  ›  问与答

SSL 双向认证 自签 CA 导入证书以后 为什么浏览器还是提示不安全

  •  
  •   loginv2 · 2018-01-05 16:57:24 +08:00 · 3993 次点击
    这是一个创建于 2516 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本机没导入证书之前

    不能访问

    导入之后

    chrome63.0.3239.84 提示不安全 (红字)

    IE11 没提示(第一次访问会提示 确认以后就没了)

    360 极速 9.0.1.152 直接无法访问 打不开 和断网一样

    19 条回复    2018-01-06 22:14:03 +08:00
    alect
        1
    alect  
       2018-01-05 17:27:01 +08:00   ❤️ 1
    自签发的 CA 根证书放入位置正确吗? 受信任的根证书办法列表
    loginv2
        2
    loginv2  
    OP
       2018-01-05 17:34:47 +08:00
    @alect 对啊,就是那个
    hljjhb
        3
    hljjhb  
       2018-01-05 18:01:17 +08:00 via Android
    需要具体看下报错原因

    可能是算法不安全
    honeycomb
        4
    honeycomb  
       2018-01-05 18:09:35 +08:00
    只有“提示不安全 (红字)”不足以说明具体情况

    请告知具体内容,这样大家能帮助你分析。
    hxsf
        5
    hxsf  
       2018-01-05 18:15:19 +08:00   ❤️ 1
    我猜:

    1. 证书没 SAN

    2. 证书还是 sha1 这种已经被标记为不安全的算法。
    loginv2
        6
    loginv2  
    OP
       2018-01-05 18:39:18 +08:00
    证书是 SHA256 的 SAN 是啥?我现在怀疑是不是自签的都这样了
    h4lbhg1G
        7
    h4lbhg1G  
       2018-01-05 18:52:31 +08:00
    证书的位置对么?我记得按照 Streisand 里面的那个导入证书,是可用的(现在虽然已经不用它了),导入后好像还要勾选用途还是啥。
    loginv2
        8
    loginv2  
    OP
       2018-01-05 18:55:50 +08:00 via Android
    没有选用途,提示不安全无所谓,就是不知道现在加密有效没
    h4lbhg1G
        9
    h4lbhg1G  
       2018-01-05 18:58:01 +08:00   ❤️ 1
    加密有效没是看你网站那边的配置啊,其实不导入证书 IE 都是可以强行访问的,也是加密的。只是中间人攻击你没法发现而已。
    我估计多半是证书生成的时候参数不大对
    loginv2
        10
    loginv2  
    OP
       2018-01-05 19:02:09 +08:00 via Android
    不导入证书没法访问,我开了双向认证。如果是加密的,那就算了,凑合用吧
    h4lbhg1G
        11
    h4lbhg1G  
       2018-01-05 19:06:12 +08:00
    哦 双认证我倒是没配置过。话说 Let's Encrypt 签名的证书,是不是不能作为客户端的证书?
    loginv2
        12
    loginv2  
    OP
       2018-01-05 19:14:29 +08:00 via Android
    @h4lbhg1G 没试过,我现在就是不想让无关系的人访问,关了 http,ssl 强制客户端使用自签证书
    chinvo
        13
    chinvo  
       2018-01-05 19:22:01 +08:00
    @h4lbhg1G le 是 DV 证书啊,客户端证书要 Email 证书之类的
    h4lbhg1G
        14
    h4lbhg1G  
       2018-01-05 19:22:21 +08:00   ❤️ 1
    @loginv2 找了下有这个 https://www.v2ex.com/t/318910 可以用 letsencrypt 的证书自己签名一个客户端证书。

    其实这种情况我自己一般有两种方法,一个是服务挂在 127.0.0.100 这种 ip 上,然后 vpn,vpn 只能证书访问;另一个简单点用 letsencrypt 加密后直接加一个复杂点的 basic-auth 的密码。
    h4lbhg1G
        15
    h4lbhg1G  
       2018-01-05 19:24:43 +08:00
    @chinvo 这样啊,如果服务端的证书 le 签名了,客户端用自签名会有问题么?
    chinvo
        16
    chinvo  
       2018-01-05 19:27:27 +08:00
    @h4lbhg1G 客户端证书随意,只要你在服务器信任这个客户端证书就好。比如你可以生成一个 self-signed CA,用这个 CA 去给客户端签证书,你只需要在服务端设置信任这个 CA
    chinvo
        17
    chinvo  
       2018-01-05 19:28:34 +08:00
    @h4lbhg1G 你找到的这个 4 楼就有提到 https://www.v2ex.com/t/318910#r_3734258
    msg7086
        18
    msg7086  
       2018-01-06 02:24:37 +08:00
    @h4lbhg1G 客户端好像一般都是自签名?
    flynaj
        19
    flynaj  
       2018-01-06 22:14:03 +08:00 via Android
    证书链
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5404 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:40 · PVG 15:40 · LAX 23:40 · JFK 02:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.