精华内容
下载资源
问答
  • 中间证书

    2018-08-31 08:13:00
    通过回答如下几个问题来了解中间证书是什么、为何要使用及为何要部署到服务器。 1、中间证书是什么 通常给我们颁发证书的公司CA并不是Root CA而是其它CA颁发的证书,每个证书都包括“使用者”和“颁发者”的相关...

    通过回答如下几个问题来了解中间证书是什么、为何要使用及为何要部署到服务器。

    1、中间证书是什么

    通常给我们颁发证书的公司CA并不是Root CA而是其它CA颁发的证书,每个证书都包括“使用者”和“颁发者”的相关信息,由此可形成一个证书链,中间部分叫中间证书。当客户端访问site会根据此站点证书链由下到上依次从本地可信CA中找寻证书来验证site证书的有效性,一旦找到一个可信的CA即可验证site证书的有效性。

     

    2、为什么要使用中间证书

    (1)保护根证书。

    如果直接采用根证书签发证书,一旦发生根证书泄露,将造成极大的安全问题。所以目前根证书都要求离线保存,如果需要用根证书签名,则必须通过人手工方式,直接用根证书在线签发证书是不允许的。
    (2)区分不同类型的产品。

    针对DV,OV,EV等不同类型,不同安全级别的证书,CA会采用不同的根证书,一来便于区分,二来一旦出现问题,也便于区别处理,降低影响。中间CA证书一般都是支持在线签发证书的。
    (3)交叉验证。

    为了获得更好的兼容性,支持一些很古老的浏览器,有些根证书本身,也会被另外一个很古老的根证书签名,这样根据浏览器的版本,可能会看到三层或者是四层的证书链结构,如果能看到四层的证书链结构,则说明浏览器的版本很老,只能通过最早的根证书来识别。

     

    3、为什么要将中间证书部署到web服务器

     客户端获取中间证书的方式有两种分别为由客户端自动下载中间证书、由服务器推送中间证书。而客户端自动下载中间证书有时候并不靠谱包括中间证书地址被墙了、系统不支持等,所以确保万一需要在服务器上部署证书从而自动推送给客户端。

    (1)客户端自动下载

    客户端从site证书上找到中间证书的下载地址进行下载,某些情况下会下载不了如地址被墙了、系统不支持

    (2)服务器推送

    将下载的中间证书导入到如下位置即可

     

     参考:

    中间证书的使用

    https://www.myssl.cn/home/article-0406-42.html 

    转载于:https://www.cnblogs.com/hepc/p/9563744.html

    展开全文
  • ssl中间证书

    2019-09-26 16:29:14
    中间证书,其实也叫中间CA(中间证书颁发机构,Intermediatecertificateauthority, Intermedia CA),对应的是根证书颁发机构(Root certificateauthority ,Root CA)。为了验证证书是否可信,必须确保证书的颁发...

    中间证书,其实也叫中间CA(中间证书颁发机构,Intermediate certificate authority, Intermedia CA),对应的是根证书颁发机构(Root certificate authority ,Root CA)。为了验证证书是否可信,必须确保证书的颁发机构在设备的可信CA中。如果证书不是由可信CA签发,则会检查颁发这个CA证书的上层CA证书是否是可信CA,客户端将重复这个步骤,直到证明找到了可信CA(将允许建立可信连接)或者证明没有可信CA(将提示错误)。

    为了构建信任链,每个证书都包括字段:“使用者”和“颁发者”。 中间CA将在这两个字段中显示不同的信息,显示设备如何获得下一个CA证书,重复检查是否是可信CA。

    根证书,必然是一个自签名的证书,“使用者”和“颁发者”都是相同的,所以不会进一步向下检查,如果根CA不是可信CA,则将不允许建立可信连接,并提示错误。

    例如:一个服务器证书 domain.com,是由Intermedia CA签发,而Intermedia CA的颁发者Root CA在WEB浏览器可信CA列表中,则证书的信任链如下:

    证书 1 - 使用者:domain.com;颁发者:Intermedia CA

    证书 2 - 使用者:Intermedia CA;颁发者: Root CA

    证书 3 - 使用者:Root CA ; 办法和: Root CA

    当Web浏览器验证到证书3:Root CA时,发现是一个可信CA,则完成验证,允许建立可信连接。当然有些情况下,Intermedia CA也在可信CA列表中,这个时候,就可以直接完成验证,建立可信连接。

    为何需要中间证书

    • 保护根证书。如果直接采用根证书签发证书,一旦发生根证书泄露,将造成极大的安全问题。所以目前根证书都要求离线保存,如果需要用根证书签名,则必须通过人手工方式,直接用根证书在线签发证书是不允许的。
    • 区分不同类型的产品。针对DV,OV,EV等不同类型,不同安全级别的证书,CA会采用不同的根证书,一来便于区分,二来一旦出现问题,也便于区别处理,降低影响。中间CA证书一般都是支持在线签发证书的。
    • 交叉验证。为了获得更好的兼容性,支持一些很古老的浏览器,有些根证书本身,也会被另外一个很古老的根证书签名,这样根据浏览器的版本,可能会看到三层或者是四层的证书链结构,如果能看到四层的证书链结构,则说明浏览器的版本很老,只能通过最早的根证书来识别。

    要获得中间证书,一般有两种方式:第一种、由客户端自动下载中间证书;第二种、由服务器推送中间证书。以下分别讨论。

    客户端自动下载中间证书

    一张标准的证书,都会包含自己的颁发者名称,以及颁发者机构访问信息: Authority Info Access,其中就会有颁发者CA证书的下载地址。

     authority info access

    通过这个URL,我们可以获得这个证书的颁发者证书,即中间证书。Windows、IOS、MAC都支持这种证书获取方式,但Android不支持这种方式,所以,如果我们仅依靠这种方式来获得中间证书,就无法在Android系统上建立可信连接。

    除了操作系统支持外,还有一个很重要的因素,就是客户端可以正常访问公网。如果客户端本身在一个封闭的网络环境内,无法访问公网下载中间证书,就会造成失败,无法建立可信连接。

    此外,有些CA的中间证书下载地址因为种种原因被“墙”掉了,也会造成我们无法获得中间证书,进而无法建立可信链接。

    虽然自动下载中间证书的机制如此不靠谱,但在有些应用中,这却是唯一有效的机制,譬如邮件签名证书,由于我们发送邮件时,无法携带颁发邮件证书的中间证书,往往只能依靠客户端自己去下载中间证书,一旦这个中间证书的URL无法访问(被“墙”掉)就会造成验证失败。

     服务器推送中间证书

    服务器推送中间证书,就是将中间证书,预先部署在服务器上,服务器在发送证书的同时,将中间证书一起发给客户端。我们部署证书,首先就要找到颁发服务器证书的中间证书,可以用中间证书下载工具 。 

    如果我们在服务器上不主动推送中间证书,可能会造成的问题

    • Android手机无法自动下载中间证书,造成验证出错,提示证书不可信,无法建立可信连接。
    • Java客户端无法自动下载中间证书,验证出错,可信连接失败。
    • 内网电脑,在禁止公网的情况下,无法自动下载中间证书,验证出错,可信连接失败。

    虽然我们不部署中间证书,在大多数情况,我们依然可以建立可信的HTTPS连接,但为了避免以上这些情况,我们必须在服务器上部署中间证书。

    所以,为了确保我们在各种环境下都能建立可信的HTTPS连接,我们应该尽量做到以下几点:

    1、必须在服务器上部署正确的中间证书,以确保各类浏览器都能获得完整的证书链,完成验证。

    2、选择可靠的SSL服务商,有些小的CA机构,因为各种原因,造成他们的中间证书下载URL被禁止访问,即使我们在服务器上部署了中间证书,但也可能存在某种不可测的风险,这是我们应该尽力避免的。

    3、中间证书往往定期会更新,所以在证书续费或者重新签发后,需要检查是否更换过中间证书。

     

    转载于:https://www.cnblogs.com/mikeluwen/p/8286841.html

    展开全文
  • https配置中间证书

    千次阅读 2019-05-22 16:21:05
    公司最近做了一个在线课堂直播课的小程序,调用的接口使用的是phalapi框架,接口的话...错误信息显示缺少中间证书,接下来就解决该问题: 1 根据中间证书生成根证书 中间证书下载工具: https://www.myssl.cn/tools...

    公司最近做了一个在线课堂直播课的小程序,调用的接口使用的是phalapi框架,接口的话使用https协议访问比较安全,nginx部署https已经配置完成,上线时发现ios手机可以正常访问,但是安卓手机访问时会报如下错误信息:
    https配置中间证书

    错误信息显示缺少中间证书,接下来就解决该问题:
    1 根据中间证书生成根证书
    中间证书下载工具: https://www.myssl.cn/tools/downloadchain.html

    根据你的证书certificate.crt 中的内容 下载 中间证书

    2 重新编辑服务器证书
    内容依次为: 不能有空格及空行 ,通过vi工具看查看是否有非法操作符或回车\空格等

    服务器证书 certificate.crt
    https配置中间证书
    ca证书 ca_bundle.crt

    根证书:从服务器下载的那个中间证书(我使用的中间证书,也能成功访问)
    配置成功后使用工具检查一下证书是否正常
    检查证书是否正常的工具:https://www.myssl.cn/tools/check-server-cert.html

    https配置中间证书

    如果正常的话,显示正常,必须得所有的都显示正常才可以。https配置中间证书

    然后nginx加载这个新的证书,重启nginx,使得配置生效,然后访问,就可以正常访问了,完美的解决了这个问题,小程序成功上线。

    展开全文
  • 什么是根证书和中间证书(中级证书)? 随着SSL证书的广泛应用,申请SSL证书的人也越来越多,但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书,而最终...

    什么是根证书和中间证书(中级证书)? 

    随着SSL证书的广泛应用,申请SSL证书的人也越来越多,但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书,而最终用户也只是获取SSL证书也是证书链的一部分而已。

    在本文将为大家介绍关于SSL证书的根证书和中间根证书的知识。

    什么是根证书?

    根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。根证书是浏览器是否对SSL证书每个浏览器都有一个根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则采取第三方的根证书库。而根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

    受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。

    什么是证书链?

    浏览器是如何鉴定信任网站的SSL证书?其实当客户端访问服务器时,浏览器会查看SSL证书并执行快速验证SSL证书的真实性。

    浏览器鉴定SSL证书身份验证的操作是根据证书链的内容。那么证书链是什么?

    用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR发生到证书颁发机构,然后使用CA机构的根证书的私钥签署用户的SSL证书,并将SSL证书发回给用户。

    当浏览器检测到SSL证书时,就会查看证书是由其中一个受信任的根证书签名(使用root的私钥签名)。由于浏览器信任root,所以浏览器也信任根证书签名的任何证书。

    而证书链是由两个环节组成—信任锚(CA 证书)环节和已签名证书环节。信任锚证书CA 环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。这两者结合就构成了证书链。

    什么是中间证书?

    证书颁发机构(CA)不会直接从根目录颁发服务器证书(即SSL证书),因为这种行为是十分危险的,因为一旦发生错误颁发或者需要撤销root,则使用root签名的每个证书都会被撤销信任。

    因此,为了避免这种风险发生,CA机构一般会引用中间根。CA机构使用其私钥对中间根进行签名,使浏览器信任中间根。然后CA机构使用中间根证书的私钥来签署用户申请的SSL证书。这种中间根的形式可以重复多次,即使用中间根签署另一个中间件,然后CA机构通过中间件签署SSL证书。

    这是证书链的可视化过程,从上述例子可看出,CA机构只需要使用一个中间体来保持简单的操作,但其实真正的证书链通常要复杂的多。

    数字签名有什么作用?

    当根证书以数字方式签署中间证书时,就会将部分信任转移到中间证书。因为签名是直接来源于收信人的根证书的私钥,因此它会自动受信任。

    当浏览器或其他客户端检测到服务端的SSL证书,就会收到证书本身或与证书相关联的公钥。然后通过公钥,解锁数字签名,查看是由哪家企业签署了证书。即当客户端浏览器访问网站时,会对服务器用户的SSL证书进行身份验证,通过公钥来解锁加密的签名,解锁的签名就会随着签署的证书,反馈到浏览器信任的根证书库中。

    如果解锁的签名链接是不在浏览器信任的根证书库中,浏览器就会对该证书显示不安全。

    根证书CA和中间根CA的区别?

    根证书CA是拥有一个或者多个受信任根的证书颁发机构,即CA机构已扎根在主要浏览器的信任库中。而中间跟CA或子CA是颁发中间根的证书颁发机构,他们不一定在浏览器的信任库中有根证书,而是将他们的中间根链接回收到受信任的第三方根,这种就被称为交叉签名。

    所以有一些CA机构颁发的证书并不是直接从他们的根源发出的,而是通过中间根签署证书来加强安全层,这有助于减少发生错误或安全事件的机率。如果撤销中间根,而不是撤销根证书以及按扩展名签署的证书,这种做法会导致中间根签发的证书不受信任。

    其实目前就有一件经典的案例,就是谷歌和其他主流的浏览器都取消对赛门铁克品牌的SSL证书。据悉,赛门铁克的SSL证书目前已颁发了数百万,取消对其的信任似乎是一件艰巨的项目。但在实际中,这是一项非常简单的工作,因为只需要在浏览器的根证书库中删除Symantec CA的所有根就可以。

    链式根和单一根之间的区别?

    单一根是由CA拥有的,可直接颁发证书,可以让部署证书的操作步骤变得更加简单。而链式根是Sub CA用于颁发证书的内容,是一个中间证书,但是因为中间根CA没有自己受信任的证书,必须链接到第三方受信任的CA。

    链式根和单一根的区别具体如下:

    链式根需要比较复杂的安装方法,因为中间根需要加载到托管证书的每个服务器和应用程序。

    链式根需要受到链接的CA支配,因为他们无法控制root用户,一旦root CA停业,他们也会收到巨大的牵连。

    根证书和中间证书过期的话,中间根必须要在根证书之前,这样就会增加工作难度。

    最后

    以上所提到的证书颁发机构、证书链和加密签名的信任根证书,其实本质上都是PKI或者公钥基础结构。

    展开全文
  • 根证书与中间证书的区别

    千次阅读 2019-10-22 10:39:53
    许多人没有意识到最终用户SSL证书只是证书链的一部分。那么就让我们一起来聊聊中间CA和根CA证书吧。...这就是为什么当你开始提到中间证书CA、根证书CA时,大多数人的目光开始变得呆滞。那么,下面就让我们一...
  • 【前言】 说一下大背景吧,我们的一个后台服务需要部署在一个没法上外网的环境,但是我们的后台服务需要访问七牛云进行对象存储,于是乎,需要一个代理来完成这个访问,我门采用nginx... 造完根证书以及中间证书后...
  • 中间证书的使用

    2016-10-22 10:42:00
    前言 我们经常在安装和部署SSL证书的时候,需要一同安装中间证书中间证书到底是什么?...中间证书,其实也叫中间CA(中间证书颁发机构,Intermediatecertificateauthority, Intermedia CA),对应的是根证书颁...
  • 1、使用的泛域名证书在某些场景下访问提示证书不安全,提示错误 ...这个工具是将Apache/OpenSSL使用的“CRT文件”解析,获取证书信息、中间证书和根证书。 工具支持DigiCert、GeoTrust、RapidSSL等颁发机构签发的SS
  • 什么是中间证书?提到这些,相信即使是获取并安装了SSL证书的人也会一脸懵。首先向您提一个问题:您的浏览器如何知道是否应该信任网站的SSL证书? 受信任的根的任何下级证书都是受信任的。这在技术层面上是如何工作的...
  • 缺少中间证书 申请中间证书 追加到-----BEGIN CERTIFICATE-----之后 不要覆盖
  • 首先检测下证书是不是中间证书缺失,以下两个网站都可以检测。 https://www.ssllabs.com/ssltest/index.html https://www.myssl.cn/tools/check-server-cert.html 解决办法: 编辑(CACertificate-ROOT-2.cer -&...
  • 小程序苹果能访问 安卓不能访问多半是中间证书的问题 中间证书可以通过第三方网址生成 https://www.myssl.cn/tools/downloadchain.html 首先安装Apache可以参考我的另一篇文章 ...
  • 将根证书和中间证书导入到 Windows 证书存储区 如安装有 View 连接服务器的 Windows Server 主机不信任签发的 SSL 服务器证书,您必须将该根证书导入至 Windows 本地计算机证书存储区中。此外,如 View...
  • 浏览器是如何验证CA中间证书

    千次阅读 2018-11-27 14:40:25
    最近看了一些关于数字证书的文章,但是让我疑惑的是很多网站的数字证书都是有信任链中的中间结点签发的,然而浏览器并没有这些中间结点的根证书,那么是如何...由此便可以总结出浏览器认证中间证书的方法: 1.浏览...
  • OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 本文将在前文《使用 OpenSSL 创建私有 CA:1 根证书》的基础上介绍...
  • 在运行 IIS 的计算机上配置中间证书以进行服务器身份验证 前言 我们经常在安装和部署SSL证书的时候,需要一同安装中间证书中间证书到底是什么?为什么必须要安装?为什么有时候,没有中间证书,我的IE也能正常...
  • 近日,谷歌可信根项目的负责人称:从很多公共证书供应商鉴别到大量中间证书违反了CA/Browser论坛的基本要求,并引发了很大的安全风险。 到底是怎么回事?一起来瞧瞧! 什么是OCSP? OCSP(Online Certificate Status...
  • 什么是证书链? 在进一步讨论之前,我们需要先引入证书链的概念。提一个问题:您的浏览器如何知道是否应该信任网站的SSL证书? 受信任的根的任何下级证书都是受信任的。这在技术层面上是如何工作的呢? 当你访问一个...
  • 今天某gov客户单位,反映一个配置部署问题: IIS7编辑绑定ssl服务器证书,一直提示“证书链中的一个或多个中间证书丢失”。  经初步询问,知道其未安装根证书及中级证书,而后发了两张给其安装,但仍是同样...
  • 2010.6.23,Exchange2007证书的中间证书被吊销了。2010.6.28, 吊销生效了,exchange2007出现了错误。 错误现象: 1。局域网外部不能通过IE访问网站、手机不能通过WAP同步,即使在IIS中设置为不使用SSL加密都不行...
  • 事情的起因是,对一个网站的升级,从http升级到https,苹果手机可以正常访问,...然后一路查找,发现是少了中间证书,一般是带有bundle字样结尾的crt文件 下面贴出apache服务器的配置核心代码 <VirtualHos...
  • 腾讯云中间证书配置 解决方法: 一般是服务器SSL缺少中间证书 https://www.myssl.cn/tools/check-server-cert.html 上面网址检测网站,发现是缺少中间证书 复制下面这些文件中的2开头的文件,直接打开复制到下面这个...
  • 前提假如免费版相关证书都已经配置到位,但是微信小程序Android访问有问题,检测域名...复制.pem或者crt文件中内容,在如下网站生成中间证书,下载文件:【chain.crt】 或者通过官方提供的...
  • Windows Azure 网站 (WAWS) 和中间证书

    千次阅读 2014-01-14 09:23:53
    编辑人员注释:本文章由 Windows Azure 网站团队的项目经理 Erez Benari 撰写。 在 Windows Azure 网站上使用 SSL 已经司空见惯。...中间证书(也称为链证书)由某些证书经销商使用,其使用正变得越来越普遍,因为
  • 今天被老板抓来加班,要我把公司测试服务器上的项目迁移到客户...我给他们装了宝塔,宝塔还是比较快的,用宝塔搭建lamp的过程就不在这里演示了,主要是解决安装SSL检查提示“错误: 服务器缺少中间证书”的这个问题 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,491
精华内容 596
关键字:

中间证书