欢迎来到天天文库
浏览记录
ID:12065543
大小:1.03 MB
页数:11页
时间:2018-07-15
《ssl中去掉讨厌的证书提示警告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、SSL应用系列之三:去掉讨厌的证书提示警告(多图精解)其实,本节讨论的内容应该归属于CA系列的,但其中涉及到的内容和SSL应用系列之二比较紧密,在之二一文中未能详细描述,所以就把这个内容作为SSL应用系列之三来讲解了,其实,SSL、CA、IIS等这些东西都是相互关联,很难独立存在。 废话不多说,今天主要和大家讨论一下为什么会有证书提示警告及如何取消。阅读本文,你将了解到以下内容 ◆为什么会有证书提示窗口◆什么情况下会出现提示窗口◆2种导入根证书的方法◆如何取消窗口提示本文导读目录 一、分析证书出现提示框的原因二、分三种情况进行讨论三、依据三个提示分析解决步骤
2、 第一个提示:证书不被信任,分析与解决 第二个提示:证书时间过期,分析与解决 第三个提示:证书名称无效或不匹配,分析与解决 我们还是以SSL应用系列之二里的一个website的例子作为开始。 一、为什么会有证书提示窗口 我们知道,在证书提示窗口上,一共会体现出三个信息如图:第一个提示:此证书是否由受信任的证书颁发机构颁发如果是,则为绿色√,否则就会出现黄色叹号第二个提示:此证书是否在有效期内如果是,则为绿色√,否则就会出现黄色叹号第三个提示:证书上的名称与站点名称是否匹配如果是,则为绿色√,否则就会出现黄色叹号
3、OK,如果三个提示的结果均为绿色√,那么就直接解析后面的网页,而不会有任何提示。反之,有任何一个不满足,则会出现类似上述的提示。 现在大家应该知道,为什么会出现提示了吧,其实这也是微软处于安全考虑的一项措施,因为如果我们忽略这些提示,一样可以顺利的访问网站。 OK,现在我们就上面的提示,一个个来讲解。 第一个提示: 为什么会有此提示?其实,在我们安装好Windows后,系统就会内置100多个证书,其实这些证书都是世界知名公司、企业、或机构的根证书,我们在访问某些由这部分证书颁发机构颁发的证书加密的网站时,就不会出现第一个提示错误的情况,为什
4、么这么说?因为本机里的受信任根证书颁发机构里有了这些根证书,也就相当于,本机信任这些根证书机构颁发的证书。 不知道大家有没有理解这句话 。我来举个例子,比如证书颁发机构相当于公安部,每个人的身份证则相当于自己的一份独有的证书,在很多场合或环境下,为了表明自己的身份,就需要出示自己的身份证,因为上面有我们的一些很基本信息,这些信息足以证明我就是本人,对方在查看身份证的时候,就类似浏览器在检查某个证书是否合法,因为我们都知道身份证是由公安部这个权威部门,由这个部门颁发的身份证一定是真实有效的,所以就自然认定你就是本人。类似的,本机里预装的100多个可信任的根证书颁发
5、机构就等同于我们的脑海里的公安部。当浏览器检测到一个新证书时,它回去查看证书的颁发者是否在自己的信任机构内,如果是,则就会信任这份证书,否则就不信任,此时就会弹出这样的提示,告诉你,浏览器检测到的这份证书并不是受信任的根证书颁发机构。 说了那么一大段,希望可以帮助你理解第一个提示出现的原因。可能有朋友要问怎么查看这些根机构?其实很简单,打开IE浏览器,选择【工具】/【internet属性】/【内容】/【证书】/【受信任的根证书颁发机构】,如下图:这些便是预设的受信任的根证书颁发机构。 知道原因,问题就好解决了。为了方便实验,我已经将环境搭建完毕,如下图:如果我们把根
6、证书加到本机的受信任的根证书颁发机构内,问题不就解决了么!OK,这里我会告诉大家2种方法来将此证书添加至本地的受信任证书机构内。 方法一:证书链安装法这个应该是最简单的方法了,下列是操作步骤:首先进入[url]http://ip/certsrv[/url] 也就是证书的网页申请页面,然后依照图示操作: 点击【Y】之后,根证书就导入到当前用户的证书里了。但请注意,没有说导入到本地计算机,而是当前用户,为什么呢?我们知道,默认使用certmgr.msc打开的就是当前用户的证书管理器,如果想打开本地计算机的证书管理器,需要用到mmc命令来添加,具体操作就不详述了,这个会放到CA
7、系列里再讲。我们到证书管理器里看有没有这个证书,用certmgr.msc打开,然后找到下列位置:从指纹码上我们可以看到,这个就是刚才导入的根证书,我们导入根CA的证书链,里面就包含了根证书。OK,根证书已导入完毕,我们来看看效果:大家可以看到,安装了根证书后,第一个叹号就去掉了。可能有网友会问,当前用户和本地计算机有什么区别呢?一句话,将证书导入到当前用户的根信任区域只能在此用户下得到信任,而导入到本地计算机则是针对本机的,所以是个应用范围大小的问题。 这个方法有一定的局限性,一般内网用的比较多,当然你也可以把证书
此文档下载收益归作者所有