自签名证书HTTPS

发布网友 发布时间：2022-04-22 15:33

我来回答

共5个回答

懂视网 时间：2022-04-06 07:29

【相关学习推荐：php编程（视频）】

自写证书往往用于学习或者测试环境，如果项目商业化运行，应当购买权威第三方 CA 机构颁发的证书。

Apache 中部署 HTTPS

创建目录 /etc/httpd/ca ，执行命令

# 非对称加密 rsa 算法生成2048 比特位的私钥
openssl genrsa -out server.key 2048

生成 csr 证书签名请求文件

# 指定私钥 server.key 生成新的 server.csr 文件
openssl req -new -key server.key -out server.csr

填写注册信息，这一栏填写自己的域名或者 IP 地址。

Common Name (eg, your name or your server's hostname) []:lamp.test.com

将新生成的私钥和证书拷贝至 ssl 配置目录。

cp server.key /etc/pki/tls/private/cp server.crt /etc/pki/tls/certs/

更改 ssl.conf 配置文件

访问 https://lamp.test.com

证书有效期由之前的 1 年 变成了 10 年。

Nginx 中部署 HTTPS

首先查看本机 nginx 是否安装 http_ssl_module 模块，如果没有就源码重装 nginx ，使用参数 --with-http_ssl_module 。

nginx -V

进入 /etc/ssl 目录，执行命令

# 使用 des3 算法 生成 4096 比特位服务器私钥
openssl genrsa -des3 -out server.key 4096# 生成证书签名请求文件
openssl req -new -key server.key -out server.csr

# 生成 4096 位 ca 私钥
openssl genrsa -des3 -out ca.key 4096# 去除服务器私钥避免以后每次载入文件需要输入密码
openssl rsa -in server.key -out server.key

# 以 x509 证书格式标准生成 10 年的 crt ，注意填写域名或者 IP 地址
openssl req -new -x509 -key ca.key -out ca.crt -days 3650# 请求有效期为 3650 天 传入文件为server.csr 指定 CA 文件为 ca.crt 指定私钥文件为ca.key 并自动创建 CA 序列文件 输出证书文件 server.crt 至此签名成功
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

修改 nginx 配置文件

listen 80;# 监听 443 端口
listen 443 ssl;server_name lnmp.test.com;# 配置服务器证书
ssl_certificate /etc/ssl/server.crt;# 配置服务器私钥
ssl_certificate_key /etc/ssl/server.key;

重启 nginx

nginx -t
nginx -s reload

访问 lnmp.test.com

成功实现 nginx 简易部署 HTTPS 。

想了解更多编程学习，敬请关注php培训栏目！

热心网友 时间：2022-04-06 04:37

自签名证书HTTPS，就是使用openssl等工具创建的证书，也称为自签名SSL证书，并不是由受信任的CA机构签发的。这种证书可以随意签发，不受约束，不受监督，因此也不受任何浏览器以及操作系统的信任。自签名SSL证书的缺点如下：

第一、被“有心者”利用。

其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。

第二、浏览器会弹出警告，易遭受攻击

前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续弹出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。

第三、安装容易，吊销难

自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。

第四、超长有效期，时间越长越容易被破解

自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。

利弊权衡，安信SSL小编还是建议大家最好不要在网站上安装自签名SSL证书，天上掉下来的基本都是陷阱，找个正规靠谱的证书服务商才是真理。不妨上安信SSL了解一下，品牌和型号都比较齐全，可根据具体需求，推荐最适合您网站的SSL证书。

热心网友 时间：2022-04-06 05:55

您好!

自签名HTTPS证书可以随意签发，没有第三方监督审核，不受浏览器信任，常被用于伪造证书进行中间人攻击，劫持SSL加密流量。很多软件开发商为了节约成本，采用自签名SSL证书，其实是给自己的产品埋下了安全隐患，随时可能被不法份子利用。如果处于成本考虑，建议去沃通CA申请免费的HTTPS证书来使用。
谢谢！希望可以帮到您，期望采纳！追问您好，我还想问一下，获得证书之后，应该怎么处理，andriod中实现HTTPS连接。这个证书申请下来之后怎么处理？

追答你去申请了证书后，部署到服务器端，打开443端口，就可以实现https访问了，具体你可以咨询沃通CA，他们提供在线技术支持或者直接让他们告诉你怎么安装

热心网友 时间：2022-04-06 07:29

自签名证书不合法，不会被浏览器信任。只有浏览器信任的CA机构签发证书才会信任。

申请可信的HTTPS（SSL证书）：

首先拥有域名，并且该域名可以正常解析使用。

进入淘宝里面找到：Gworg

选择SSL证书确定后，根据要求完成域名认证。（DNS解析认证）

获得可信SSL证书配置到服务器就可以实现HTTPS。

解决办法：Gworg获得合法的SSL证书。

热心网友 时间：2022-04-06 09:21

自签名证书不安全的，很容易被伪造劫持，造成*露或者金钱损失，建议安装常规的SSL证书，免费的也行，只要是正规权威机构申请。网页链接 用过这个比较好，他们可以帮忙安装的，希望能帮到你