我是处理IIS的新手,所以如果我误解了这里以及我的业余爱好,请原谅我。我在这里为站点创建了一个自签名证书,在创建时我需要将“ * .site”作为一个友好名称?该友好名称需要使域名与站点匹配吗?然后,我继续将证书绑定到站点,我选择了协议https,输入了主机名,IP xxx.xxx.xxx.xxx,端口(3000),然后选择了证书,然后单击了确定,
我打开浏览器,证书已安装到该站点,URL仍然像:“ https://site.com:3000”。但是该网站的状态为不安全。
在本地主机上运行。
我在这里遇到了这两个错误,第一个(SAN)与证书上缺少一个具有备用使用者名称的软件包有关。我不能在自签名证书上添加该属性,对吗? 第二个与“通用名称无效”有关,我不知道为什么会这样。
我需要解决这个问题。 预先感谢。
答案 0 :(得分:0)
对于非安全专家来说,SSL / TLS可能是一个具有挑战性的主题,但是通过了解协议的工作原理,您的大多数问题都会得到解答。我不建议您专注于IIS的具体细节,而应该研究the core of SSL/TLS。
另一个很棒的技术资源是RFC 5280,它提出了Internet X.509公钥基础结构证书和证书吊销列表(CRL)概要文件的标准。
要记住的一件事是:浏览器不喜欢自签名服务器证书。每当使用它时,都会发出很多警告。最常见的是(警告消息可能因版本而异):
自我说明性警告消息。
“ RFC 2818描述了两种将域名与证书进行匹配的方法-使用subjectAlternativeName扩展名中的可用名称,或者在没有SAN扩展名的情况下使用commonName。 commonName在RFC 2818(于2000年发布)中已弃用,但仍在许多TLS客户端中保持支持,通常是错误的。”
第二个回答您有关如何为服务器正确颁发自签名证书的大多数问题。
干杯。
