我有一个小型企业网络,对于该网络,一台计算机是 DHCP、DNS 和 Web 服务器。它使用本地域,如 machinary.ao 或 resources.ao
我想使用 ssl。计算机和网络不连接到互联网,一切都只是本地的,没有任何东西出入。
我在 apache 中启用了 SSL 并为其创建了一些证书。问题是:浏览器不接受 SSL 证书,所有浏览器都说它不受信任。
这是为什么?我该怎么办?我想使用 SSL 来保证安全,但如何使其可信?
我不想白白支付 SSL 证书费用。我已经有了本地网络,我想让它更安全。
我如何让本地证书颁发机构签署我的证书?或者我应该怎么做?
答案1
您的网络很小并且未连接到互联网。
您试图通过使用 SSL 来降低哪些风险?
在内部网络上使用 SSL 增加了一层安全性,但(取决于网络使用)仅适用于所有网络流量的(非常)一小部分。
如果您的网络的任何部分都是无线的,并且您不信任 WLAN 的安全性,那么您可以考虑通过 VPN 连接无线客户端。
除此之外,如果您担心有人窃听您的网络,那么您遇到的问题会大几个数量级。在这种情况下,您需要物理安全对策,例如周边安全或保安人员......
答案2
前提:如果您创建了证书,则您拥有(个人)证书颁发机构,并且我认为您已经签署了您的证书(在创建阶段)。
简而言之:主要问题是识别特定证书的所有者。每个浏览器都有一组由受信任的证书颁发机构颁发的受信任的证书。当您打开https协议的网站时,您的浏览器会检查该网站的证书是否由已知的证书颁发机构签署(使用该CA的证书)。通过这种方式,您就有一家值得信赖的大公司告诉您:“好吧,证书是好的并且有效”。就您而言,问题在于您不是 CA。因此浏览器会通知您可能存在的风险。为了解决这个问题,您必须告诉您使用的每个浏览器您的证书是好的(在带有证书警告的页面中搜索“添加例外”之类的内容)。
答案3
如上所述,您可以手动告诉每个浏览器创建异常。
但这可能不是您想要的。
当然,您可以是自己的证书颁发机构,例如较大的公司使用此类内部公钥基础设施。
我无法确切地告诉您如何执行此操作,但这里有一些可以帮助您入门的链接:
https://help.ubuntu.com/lts/serverguide/certificates-and-security.html
https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate
我想如果您至少了解 PKI 和 CA 的工作原理,那么弄清楚如何做到这一点并不难。