这是一个创建于 1471 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一些特殊需求需要在 VPS 搭建伪站,本地 Dnsmasq 劫持访问,需要配置 HTTPS 证书,试了下 GMCert 国密证书,本地导入后还是,浏览器还是会提示不信任,第一次接触 CA 证书这种技术,想问下有没有办法在无法验证域名所有权( cloudflare 免费 15 年的那个需要验证域名所有权)的情况下,浏览器默认信任签发机构,不用另行导入
 |
1
lcdtyph 2020-04-13 23:46:48 +08:00 via iPhone  2
如果“ 在无法验证域名所有权的情况下,浏览器默认信任签发机构,不用另行导入”,那么整个公钥认证体系就没有任何意义了
|
 |
2
tyhunter OP @lcdtyph 刚仔细想了下,这点确实小白了,请教下现在 GMCert 浏览器还是会提示不信任,有没有其他免费签发机构可以推荐的,本地导入公钥的形式
|
 |
3
Tink 2020-04-13 23:50:18 +08:00
不可能
|
 |
4
Keyes 2020-04-13 23:51:38 +08:00 via iPhone
本地能导直接自签就行了
|
 |
5
hundan 2020-04-13 23:58:27 +08:00 via iPhone
洗洗睡吧 梦里啥都有
|
 |
6
darknoll 2020-04-14 00:00:13 +08:00 via Android
应该不行
|
 |
7
lookas2001 2020-04-14 00:06:32 +08:00
ca 就是防 mitm 以及身份验证用的,如果存在一种方法可以绕过这种安全机制,那要 ca 干啥呢?
要么导入根证书,要么用不安全的浏览器(比如 360 不安全浏览器) |
 |
8
cydian 2020-04-14 00:07:19 +08:00 via Android
不是 应该不行,
而是 决定不行。 |
|
9
cydian 2020-04-14 00:07:34 +08:00 via Android
而是 绝对不行
|
|
10
lcdtyph 2020-04-14 00:10:01 +08:00 1
@tyhunter #2
我没用过 gmcert,不过想来应该是你导入的不对,或者是下载的证书缺少中间证书链 我之前用的 mkcert https://github.com/FiloSottile/mkcert 本地生成证书,还可以自动安装根证书,很方便 |
|
11
tyhunter OP @lcdtyph 感谢大佬,现在就是 GMcert 下载回来的证书,导入本地会被 Windows 提示无法验证,下载回来是有三个 pem 文件,除了第一个 cert.pem 改名为 cert.crt 可以导入外,其他两个都不行,我试试你说的
|
 |
13
nieyujiang 2020-04-14 00:18:40 +08:00 via iPhone
浏览器默认信任签发机构,那还要证书干什么🌚,直接 http 不好么
|
 |
14
chinvo 2020-04-14 00:28:09 +08:00 via iPhone
两个事
1 、MITM 是违法的,即使你在为某些奇怪的机构工作 2 、Windows 不支持国密 |
Select Language