其實你只要找一下:
當初核發你們憑證的, 是哪一個憑證機構? 去問他的根憑證伺服器在哪裡? 防火牆要怎麼開? 他們客服就會告訴你...
這裡有 IE 瀏覽器內建的根憑證權威機構清單:
Listing of Trusted Root CA in IE
請留意, 根憑證單位也是會過期的, 像上面清單中的 CAEAST.CMGI.COM 就已經過期很久, 不能再信任他...
瀏覽器在連上 SSL 網站的時候, 他拿到網站提供憑證, 就會依照憑證裡面的憑證鏈, 一路往上驗證他的有效性
如圖, 網站是在最下面, 中間都是他的中繼憑證, 最上面才是根憑證:
這個驗證動作, 通常瀏覽器只有 Session 剛開始, 第一次讀到這個憑證的時候, 才會依序往上驗證; 同一個 Session 以後都不會再驗, 免得消耗太多通訊; 直到這個 Session 結束為止.
中繼憑證是網站要負責丟出來的, 當瀏覽器拿到 SSL 憑證的時候, 照理說, 中繼憑證也已經一起讀到了, 不需要另外再去外面讀.
但是有很多安裝憑證的工程師, 不知道要裝中繼憑證, 這時候瀏覽器讀不到, 他就會直接聯網去外面找根憑證, 看它的有效性.
感謝大神的解惑,再次謝謝
最近在學習憑證相關知識,謝謝大神講解
一般來說,從証書上面去看對外簽發的人是誰,去開通就好。raytracy大神已經說的很詳細了。我就不再多言。
不過正常來說,你想要內網應用的情況下。可以設規則用內網自定義的ssl証書就行了。實在沒那個必要使用需要核對簽發的証書才對。不是自找麻煩嗎?
還是這樣有其特殊用處??不太明白。
同意 若使用者都是Intranet
想不到為何不自發的理由
因為有可能這網站將來會對外,所以才會想要買外面的SSL
好吧,聽到這句就可以了解到你聽不懂我們再說什麼。
你公司內部限制內網。與你網站以後要對外。
兩者是不相同的事。
限制內網的情況下要連結你公司的網頁,一定是透過內網連結處理。
這時候你就可以使用自發簽証的証書來處理ssl。
而你對外買的核發簽証,則是要設定在外網連結網站時處理使用。
兩者是不相關的証書。不同的應對處理。
感謝您的解釋,對於憑證應用目前還不是很熟悉,所以沒就沒自發憑證,也會評估朝自發憑證著手
https://skychang.github.io/2017/01/02/TFS-TFS_Self_SSL/
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy
在內網中,因為你憑證只有內網的客戶端要認,自簽一個然後讓每台客戶端都匯入成信任憑證就好。通常可以靠AD派送。
在外網的話,因為你管不到上你網站的客戶端,就只能靠根憑證權威單位發證,然後讓瀏覽器去檢查各層憑證是否可信。要不然就是客戶端自己手動匯入。
我都申請免費的SSL For Free憑證,三個月到期一次,自己設排程定期檢查更新換憑證。
不知你的主機是什麼,如果是linux 可以透過自簽憑證來解決表單資料加密的需求
https://www.webteach.tw/?p=3050
iThome鐵人賽
看影片追技術