如何创建自签名证书,何时使用自签名证书

10-22 18:06 SSL证书安装

自签名证书是由创建它的人而不是受信任的证书颁发机构签名的证书。自签名证书可以实现与受信任的权威机构签署的证书相同级别的加密,但是有两个主要缺点:访问者的连接可能被劫持,攻击者可以查看所有发送的数据(从而破坏了加密访问者的目的)。连接,并且无法像受信任的证书一样撤销证书。我们将解释何时应该使用和不应该使用自签名证书,然后分享有关如何为常见平台(如Microsoft IIS,Apache和Java Keytool)生成自签名证书的教程。

 

创建自签名证书

何时使用自签名证书

自签名证书或由私人CA颁发的证书不适用于一般公众。证书具有两个基本目的:分发公共密钥和验证服务器的身份,以便访问者知道他们没有将信息发送给错误的人。只有当服务器由受信任的第三方签名时,它才能正确验证服务器的身份,因为任何攻击者都可以创建自签名证书并发起中间人攻击。

 

如果用户仅接受自签名证书,则攻击者可能会窃听所有流量,或尝试设置仿制服务器以从用户中诱骗其他信息。因此,您几乎永远不会希望在需要匿名访问者连接到您的站点的服务器上使用自签名证书。在这种情况下,您确实需要为受信任的证书花费一些钱(有很多便宜的SSL证书,甚至免费选项)。但是,自签名证书可以具有以下位置:

 

内联网。当客户端只需要通过本地Intranet到达服务器时,几乎没有中间人攻击的机会。

 

开发服务器。在开发或测试应用程序时,无需花费额外的现金购买受信任的证书。访客很少的个人网站。如果您的个人网站很小,可以传输非关键信息,那么有人攻击连接的动机就很小。

请记住,访问者在连接到使用自签名证书的服务器之前会在浏览器中看到警告,直到该证书永久存储在其证书存储中。

 

Firefox中的Apache自签名证书错误

更好的选择:私有CA

如果您要在合适的情况下使用自签名证书,最好创建自己的私有CA证书。这是一个更安全的选项,可让您避免像上面显示的那样仅做一些更多的工作就发出警告。

 

IIS中的自签名证书

与早期版本的IIS相比,在IIS 7中创建自签名证书要容易得多。IIS现在提供了用于生成自签名证书的简单接口。缺点之一是证书的通用名称始终是服务器名称而不是站点名称。为了更改通用名称,您需要执行一些其他步骤。

 

使用自签名证书

如何在IIS 7中创建自签名证书

 

Apache的自签名证书

Apache创建自签名证书以保护Apache站点需要使用OpenSSL。这使您可以完全控制证书的创建方式。

 

Java的自签名证书

通常,使用Java Keytool生成自签名证书是所有平台中最简单的,尽管您所获得的控制权不如使用OpenSSL。

 


您可能也喜欢

cache
Processed in 0.008292 Second.