Questions tagged «self-signed-certificate»

我只是想知道。我们使用许多SSL证书。如今，我们几乎只使用letencrypt（谢谢！）。这些证书的底线是，证书上域名的所有权证明来自操纵这些域下的DNS记录或网站的权力。DNS证明来自将一些密钥（由letencrypt提供）作为TXT记录添加到DNS。 因此，如果有足够的证据可以更改域的DNS记录，那么为什么不在DNS中使用带有指纹的自签名证书呢？ 我要说的是，此信任与letencrypt（和其他CA）基于DNS的过程完全相同： 创建一个自签名的CA（只需遵循各种操作步骤即可） 为某些域创建证书 使用来自步骤1的CA对来自步骤2的证书进行签名。现在，您具有由不受信任的CA签名的基本证书。 将TXT（或专用）记录添加到每个域的DNS中，说明：我们已使用此CA签署了该域的证书。像：“ CA = -CA的指尖” 浏览器下载证书并通过比较CA的指纹/ CA证书与给定域的DNS中的数据进行验证。 这样就可以创建不受第三方干扰的，与任何基本SSL证书具有相同信任级别的受信任的自签名证书。只要您有权访问DNS，您的证书就有效。甚至可以添加一些DNSSEC（如加密），以从CA加上SOA记录中进行哈希处理，以确保信任因DNS记录的更改而消失。 以前考虑过吗？ 耶尔默

16 domain-name-system  ssl  certificate-authority  lets-encrypt  self-signed-certificate 

对于开发环境，我可以在IIS7.5中创建创建自签名证书。但是那个证书是SHA-1，最近浏览器抱怨它。当我打开FireBug时，我看到以下警告： “此站点使用SHA-1证书；建议您使用具有签名算法的证书，这些算法使用比SHA-1更强的哈希函数。” 所以我的问题是： 1）有没有办法创建比SHA-1强的自签名证书？ 2）如果没有，是否有办法告诉浏览器停止显示这些警告？ 更新 我最终使用了@vcsjones答案，但这仅使我到目前为止。在此之前，我们必须解决一些问题，然后才能使其工作。 1）由于某种原因，我无法使用密码导入证书。所以我最终创建了一个没有它的。 2）当我通过IIS导入.pfx证书时，当我尝试在“编辑绑定”中应用新证书时，我一直收到“指定的登录会话不存在”的信息。因此，我进行了很少的研究，发现此SO答案非常有用，尤其是Mike L的答案。 我要补充的另一件事是，当您导入证书时，请记住选择.pfx证书。导入向导的默认选择是* .cer，您可以导入（我犯了一个错误），但是后来我无法在IIS服务器证书中看到证书。当我靠近时，它缺少图标中的小键。现在，我做了研究，能够通过KB-889651文章对其进行修复。因此，请确保您导入.pfx，并且它无需修复即可工作。 另请注意，如果您对此证书有信任问题，也请将其导入“受信任的根证书颁发机构”。

8 iis-7.5  self-signed-certificate