我正在尝试获取一个有效的安全环境,以使 HTTP 通信像正常通信一样运行。我为一组受限用户执行此操作。
有一个运行 Web 服务 (nginx) 的硬件服务器。这台机器上安装了 OpenSSL,我也将其用作 CA。我已创建根 CA 证书,并已使用它为 Web 服务签署了证书。然后,我将根 CA 证书提供给受信任的用户(另一台由我控制的 PC),并将其作为受信任的权限导入 Firefox。
几乎所有工作都正常(HTTPS 服务可访问,警告页面没有出现),但我得到了一个蓝色的服务状态(地址栏中 https://... 之前的第一项)说明:
Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company
其他世界知名的 HTTPS 网站(例如 addons.mozilla.com)则显示绿色的状态,而他们没有这个(未知)数据。其中有公司名称和位置。
是否有可能让自定义的私有安全环境表现得像正常环境一样,并且绿色的? 如果是,那么为了获得这个应该做什么(客户端?服务器端?)?
附带问题:我在哪里可以了解 PKI、SSL 以及所有这些东西从 0 到高级?或者也许有一些与此相关的好书?
提前感谢您的任何帮助和答案。
答案1
你不能——这就是 EV 证书(使位置栏变绿的证书)背后的原因。你实际上必须修补浏览器或破解某些 EV-CA 私钥。
我在OpenSSL 邮件列表这解释了问题;你可能还想看看维基百科文章关于所有这些扩展验证内容是什么。
至于你的问题:整个 PKI 和 SSL 东西非常复杂。我找到了一个文章这解释了构建自己的 PKI 背后的一些理论,但这远不是一个好的“从零到高级”教程。当然还有RFC 5280,但这对一些非常阅读起来很费劲。但至少这是官方标准,值得一读。