自己發憑証

2021/8/4

• 使用OpenSSL 製作萬用字元SSL 憑證-黑暗執行緒

• 如何使用OpenSSL 建立開發測試用途的自簽憑證(Self-Signed ...

• IT專題-自己製作SSL私有憑證(Root CA) @ IT001 :: 痞客邦::

• 步驟2：建立憑證簽署要求(CSR) 和憑證- AWS CloudHSM

• [電腦小知識] SSL憑證 .pfx 轉換成 .crt 和 .key

• 那些關於SSL/TLS的二三事(十一) — 關於憑證的維運. 前面已經 ...

當 CA 完成了審核過程後, 就會簽核你的 CSR 然後把簽過的憑證寄還給你, 通常是一個 .crt 檔案. 詳細一點的說, CA 會根據憑證的資料區段來計算出 checksum, 並且以其 private key 對這段 checksum 進行加密, 然後把這段加密後的密文 (signature) 附加在原本的憑證後並且寄還給你. 這就是你要用來安裝在你的網站或是 load balancer/webserver 上的東西了.

那如果你不想要讓 CA 幫你簽呢? 譬如說你想要自己簽 (self signing). 對自簽來說, 最大的問題就是市場上的瀏覽器沒辦法驗證這些憑證除非你手動將自己的 public key 加到這些瀏覽器的 cert store 裡面. 不過自簽這種事通常也只會用在內部網路裡, 所以通常就是幫內部網路的客戶端安裝 public key 即可.

root CA chain

• IT專題-自己製作SSL私有憑證(Root CA)

自製CRT就是連不到root，所以鎖頭還是會被畫斜線

討論：證書裝在哪？

reverse proxy

• nginx

• cloudflare DNS+reverse proxy

cloud flare mode

• none: request是什麼就什麼

• flexible: 由CF提供並且轉https進webserver

  • 裝在reverse proxy 好處

    • 好擴展 裝一個地方就好

    • 越早擋越好

• full

• string

軟體安裝

iOS 上的 app