iT邦幫忙

0

SSL 更新問題

ssl

請問一下
公司目前有購買SSL憑證要用於內網的網頁伺服器
但是我們大部分電腦都被限制上網,
這些電腦訪問這網站時會出現SSL警告
只要暫時開通她的上網權限,就可以連到外面去更新,之後就不會出現警告
有無高手知道IE是去聯繫哪個地方來更新這些SSL憑證?
這樣我就可以在防火牆將這些伺服器開放可以連線

chwei_wu iT邦新手 5 級 ‧ 2019-05-21 13:36:59 檢舉
如果將憑證匯入到個人電腦的受信任的根憑證哩?這樣不行嗎?
小詹 iT邦新手 5 級 ‧ 2019-05-21 13:45:09 檢舉
這方式沒試過~但是要一台台弄,看有沒有其他方式
小詹 iT邦新手 5 級 ‧ 2019-05-21 17:39:06 檢舉
這方試我剛剛試了,還是會警告
4
raytracy
iT邦大神 1 級 ‧ 2019-05-21 14:11:51
最佳解答
  1. 瀏覽器並不是去更新憑證, 他是去核對: 當初發給你們憑證的機構是誰? 找到這個 Root Certificate Authority (根憑證權威單位), 向他的伺服器驗證, 你們這張憑證是否合法的? 順便查詢 CRL 伺服器清單, 看看他有沒有被撤銷?
  2. 每家憑證發放機構, 都會建立自己的根憑證權威伺服器, 你得自己去把這些伺服器找出來, 而且他們會變動
  3. 不只有根憑證, 中間可能還有中繼憑證, 所以瀏覽器並不是直接去找上一層 CA, 他可能先找到中繼憑證, 之後再去找更上層的 CA, 中間會轉好幾次

其實你只要找一下:
當初核發你們憑證的, 是哪一個憑證機構? 去問他的根憑證伺服器在哪裡? 防火牆要怎麼開? 他們客服就會告訴你...

這裡有 IE 瀏覽器內建的根憑證權威機構清單:
Listing of Trusted Root CA in IE
請留意, 根憑證單位也是會過期的, 像上面清單中的 CAEAST.CMGI.COM 就已經過期很久, 不能再信任他...

小詹 iT邦新手 5 級 ‧ 2019-05-21 17:37:22 檢舉

我在朝這方向問看看我是直接在COMODO網站買的

1
浩瀚星空
iT邦大師 1 級 ‧ 2019-05-21 16:12:59

一般來說,從証書上面去看對外簽發的人是誰,去開通就好。raytracy大神已經說的很詳細了。我就不再多言。

不過正常來說,你想要內網應用的情況下。可以設規則用內網自定義的ssl証書就行了。實在沒那個必要使用需要核對簽發的証書才對。不是自找麻煩嗎?

還是這樣有其特殊用處??不太明白。

看更多先前的回應...收起先前的回應...

同意 若使用者都是Intranet
想不到為何不自發的理由

小詹 iT邦新手 5 級 ‧ 2019-05-21 17:38:38 檢舉

因為有可能這網站將來會對外,所以才會想要買外面的SSL

好吧,聽到這句就可以了解到你聽不懂我們再說什麼。
你公司內部限制內網。與你網站以後要對外。
兩者是不相同的事。

限制內網的情況下要連結你公司的網頁,一定是透過內網連結處理。
這時候你就可以使用自發簽証的証書來處理ssl。

而你對外買的核發簽証,則是要設定在外網連結網站時處理使用。
兩者是不相關的証書。不同的應對處理。

小詹 iT邦新手 5 級 ‧ 2019-05-22 00:49:38 檢舉

感謝您的解釋,對於憑證應用目前還不是很熟悉,所以沒就沒自發憑證,也會評估朝自發憑證著手

froce iT邦大師 7 級 ‧ 2019-05-22 09:25:58 檢舉

https://skychang.github.io/2017/01/02/TFS-TFS_Self_SSL/
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy

在內網中,因為你憑證只有內網的客戶端要認,自簽一個然後讓每台客戶端都匯入成信任憑證就好。通常可以靠AD派送。

在外網的話,因為你管不到上你網站的客戶端,就只能靠根憑證權威單位發證,然後讓瀏覽器去檢查各層憑證是否可信。要不然就是客戶端自己手動匯入。

我都申請免費的SSL For Free憑證,三個月到期一次,自己設排程定期檢查更新換憑證。

0
混水摸魚
iT邦新手 2 級 ‧ 2019-06-05 16:10:30

不知你的主機是什麼,如果是linux 可以透過自簽憑證來解決表單資料加密的需求
https://www.webteach.tw/?p=3050

我要發表回答

立即登入回答