我使用此命令在我的服务器上制作了证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
并正确配置了所有内容,因为除了http之外输入https时我的网站是可用的。但是有一个问题。我的证书不受信任。
Firefox提示:
sec_error_untrusted_issuer
和Chrome:
NET::ERR_CERT_AUTHORITY_INVALID
有没有办法让我的证书值得信赖?所以错误不会发生?
我可以接受风险并转发到网站,但对于通过https访问我网站的人来说,这看起来不太好。
答案 0 :(得分:10)
Firefox:导航到https页面。在底部有一个选项"我理解风险。"放大此部分和"添加例外"。
Chrome:这有点困难。您必须将文件系统上显示的证书保存在文件系统中,然后将证书导入Chrome。设置 - >高级设置 - > HTTPS / SSL - >管理证书 - >服务器 - >进口。
如果您希望外部人员能够使用您的网站,您需要获得由证书颁发机构签名的证书。然后在Web服务器中使用此签名证书。
答案 1 :(得分:3)
证书颁发机构(颁发证书的机构)需要得到浏览器的信任。默认情况下,不签署自签名证书。因此,证书需要由用户手动接受,这不是大多数人会做的事情,而在Chrome中,这是非常困难的。
对于管理员区域和仅与专业用户打交道,这不是问题,但对于普通大众来说,这是不可能的。
如果您拥有自己的IP地址,这并不困难,因为像startssl这样的地方有免费证书,而像gandi.net这样的注册商也提供1年免费证书。
如果您与其他人共享IP地址,则有几个客户端无法有效导航(因为IP上只有一个SSL侦听器)。 Windows XP(所有浏览器),Android 2.x和Blackberry 7.x不支持包含域名的SSL协商扩展。
注意 - 现在是2017年8月,更少的devides不支持SNI,还有免费(并且相当容易使用)LetsEncrypt SSL certificates。