自己發憑証
2021/8/4
當 CA 完成了審核過程後, 就會簽核你的 CSR 然後把簽過的憑證寄還給你, 通常是一個 .crt 檔案. 詳細一點的說, CA 會根據憑證的資料區段來計算出 checksum, 並且以其 private key 對這段 checksum 進行加密, 然後把這段加密後的密文 (signature) 附加在原本的憑證後並且寄還給你. 這就是你要用來安裝在你的網站或是 load balancer/webserver 上的東西了.
那如果你不想要讓 CA 幫你簽呢? 譬如說你想要自己簽 (self signing). 對自簽來說, 最大的問題就是市場上的瀏覽器沒辦法驗證這些憑證除非你手動將自己的 public key 加到這些瀏覽器的 cert store 裡面. 不過自簽這種事通常也只會用在內部網路裡, 所以通常就是幫內部網路的客戶端安裝 public key 即可.
root CA chain
自製CRT就是連不到root,所以鎖頭還是會被畫斜線
討論:證書裝在哪?
reverse proxy
nginx
cloudflare DNS+reverse proxy
cloud flare mode
none: request是什麼就什麼
flexible: 由CF提供並且轉https進webserver
裝在reverse proxy 好處
好擴展 裝一個地方就好
越早擋越好
full
string
軟體安裝
iOS 上的 app
Last updated