https證書驗證需要檢查哪三點?Windows系統(tǒng)如何安裝https證書?
使用證書時,如果我們新配置的https證書提示無效,可能是因為服務(wù)器的URL和證書的URL不一致,通常我們的證書會配置與之相匹配的URL,我們需要將相關(guān)的文件代碼替換為與證書相同的文件代碼。當您購買證書時,必須首先查看它的時間,因為一般證書的有效期為一年,并且注意證書的安裝,不要出現(xiàn)配置錯誤。一般來說,最好請專業(yè)人員幫助安裝。那么https證書驗證需要檢查哪三點?Windows系統(tǒng)如何安裝https證書?新網(wǎng)小編告訴大家!
在我們使用證書的時候,如果我們的服務(wù)器上同時出現(xiàn)三張一樣區(qū)域名稱的證書時,這樣是不行的。當然了我們更不可以使用一個很多區(qū)域名稱的證書。解決這樣的問題有兩種方法,第一:如果這里的三個不一樣的窗口里面的內(nèi)容都差不多,而且整個網(wǎng)站的內(nèi)容也不是很大的時候,最好把這幾個窗口做成兩級目錄文件夾的形式。這樣的話,用一張一個區(qū)域的證書就可以了。如果網(wǎng)站的內(nèi)容比較多,就把它變成幾個二級區(qū)域名稱的形式,同時在買一張通用型的證書就好了。
二、Windows系統(tǒng)如何安裝https證書?
1.開始安裝證書
生成的Windows安裝SSL請求文件提交給CA機構(gòu)審核通過后,會收到SSL證書簽發(fā)的郵件,在郵件中獲取證書文件。將SSL簽發(fā)郵件中的包含服務(wù)器windows ssl證書代碼的文本進行復(fù)制,粘貼到記事本等文本編輯器中,然后修改文件名,保存為server.cer,然后就可以安裝了。
在“開始”菜單上,依次單擊“所有程序”-“附件”-“運行”。鍵入mmc指令,點擊“添加/刪除管理單元”,再點擊“證書”,選擇“計算機賬戶”,在本地計算機中將文件導(dǎo)入。
2.證書配置綁定
進入IIS控制臺,在對應(yīng)機器主頁選擇“服務(wù)器證書”,點擊右側(cè)“完成證書申請”。注意最好將文件重命名,可以方便查找和管理。配置Windows安裝SSL證書,用右鍵點擊站點,編輯綁定,Windows安裝證書配置就完成了。
三、https證書驗證需要檢查哪三點?
1. 驗證證書是否在有效期內(nèi)。
證書中會包含證書的有效期的起始時間和結(jié)束時間,取一個時間點去比較就好了。
關(guān)鍵問題是如何保證取到的時間點是可信的,這就是另外一個話題了。
2. 驗證證書是否被吊銷了。
被吊銷的證書是無效的。驗證吊銷有CRL和OCSP兩種方法。
CRL即證書吊銷列表。證書被吊銷后會被記錄在CRL中,CA會定期發(fā)布CRL。應(yīng)用程序可以依靠CRL來檢查證書是否被吊銷了。
CRL有兩個缺點,一是有可能會很大,下載很麻煩。針對這種情況有增量CRL這種方案。
二是有滯后性,就算證書被吊銷了,應(yīng)用也只能等到發(fā)布最新的CRL后才能知道。增量CRL也能解決一部分問題,但沒有徹底解決。
OCSP是在線證書狀態(tài)檢查協(xié)議。應(yīng)用按照標準發(fā)送一個請求,對某張證書進行查詢,之后服務(wù)器返回證書狀態(tài)。OCSP可以認為是即時的(實際實現(xiàn)中可能會有一定延遲),所以沒有CRL的缺點。不過對于一般的應(yīng)用來說,實現(xiàn)OCSP還是有些難度的。
3. 驗證證書是否是上級CA簽發(fā)的。
每一張證書都是由上級CA證書簽發(fā)的,上級CA證書可能還有上級,最后會找到根證書。根證書即自簽證書,自己簽自己。
當你驗證一張證書是否是由上級CA證書簽發(fā)的時候,你必須有這張上級CA證書。通常這張證書會內(nèi)置在瀏覽器或者是操作系統(tǒng)中,有些場景下應(yīng)用系統(tǒng)也會保留。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)
送郵件至:operations@xinnet.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時
需注明出處:新網(wǎng)idc知識百科