我只是想确认自签名证书仍然允许2023-2034对于不暴露在互联网上且仅提供内部网应用程序的 IIS 服务器。我之所以问这个问题,是因为我正在重复过去几年使用过的一个过程,但这次不起作用。浏览器拒绝证书,认为其无效。行业是否还加强了与 SSL 证书相关的安全性?
我一直在 PowerShell 中创建自签名 SSL 证书,将其导入该 Windows Server 上的受信任根证书颁发机构,然后更改 IIS 管理器中的绑定以使用导入的证书。[没有私钥的证书被导入桌面上的受信任颁发机构。] 这次,将证书导入服务器的受信任根证书颁发机构成功,更改 IIS 中的 https 绑定成功,但是当我尝试从桌面访问 Web 应用程序时,浏览器显示证书无效并且该连接不是私密的。
答案1
情况一直如此。所有网络浏览器将要和必须检查服务器证书的有效性,如果无效则向用户发出警告。
如果您使用自签名证书,则需要明确地使其在客户端系统上受信任,否则您将会收到此投诉。
我觉得很奇怪你以前没有遇到过这种情况,因为这是理所当然的,自从 SSL 发明以来,这种情况就一直存在。
答案2
我可以重现“证书无效且连接不是私密的”,因此 Chromium 衍生浏览器的最新变化似乎使得使用自签名证书变得相当痛苦,即使网站是内部的。
如果您使用 Internet Explorer 等旧版浏览器进行测试,您应该会看到自签名证书运行完美。
通常浏览器供应商会进行此类更改来弥补安全风险,常见的解决方案是使用内部 CA(来自 AD 或类似系统)颁发证书。
答案3
绝对可以!在本地内联网/基础设施中使用自签名证书是完全可以接受的,通常这是没有互联网访问的私有基础设施的唯一解决方案。
如果没有关于浏览器产生的错误消息或证书设置细节的具体信息,很难确切地说出原因。不过,以下是可能导致证书被拒绝的常见问题:
不在信任库中:自签名证书尚未安装在尝试访问网站的机器上的相应信任库中。每个操作系统都有自己的证书库,需要将自签名证书添加到该库中。
证书不匹配:证书上的通用名称 (CN) 与 IIS 服务器的主机名或 IP 地址不匹配。
证书不合适:使用的证书不支持服务器身份验证。如果是这种情况,即使证书安装正确,也不会被视为有效。
证书已过期:证书已过期。自签名证书有过期日期,如果过期,浏览器将不再信任该证书。
弱哈希算法:如果您的证书使用 SHA-1 作为哈希算法,这可能是原因。现代浏览器不再信任使用 SHA-1 的证书,因为它存在安全漏洞,并且已开始要求至少使用 SHA-256。
私钥:对于某些应用程序,私钥还必须安装在服务器上并正确链接到证书。
请检查您从浏览器收到的错误消息的具体内容,它应该能更准确地了解证书被视为无效的原因。如果没有任何效果,请考虑联系您的系统管理员或 IT 支持人员以获取专业建议。