信任来自IIS的自签名证书

Question

信任来自IIS的自签名证书

Tho*_*ter 6 iis certificate ssl-certificate iis-8

我有一个外部托管的iis网络服务器,我运行我的网站.我想在本网站上添加一个自签名证书,并在我的本地客户端上信任它,从浏览器中删除"不安全连接".

到目前为止我所做的是以下内容

在IIS中创建自签名证书:服务器证书 - >创建自签名证书.证书颁发给服务器名称,例如"ABCD01"
使用自签名证书创建了具有https绑定的网站.
使用以下命令从IIS导出自签名证书:服务器证书 - >导出.这导致.pfx文件
在本地客户端上导入.pfx证书文件:管理计算机证书 - >受信任的根证书颁发机构 - >导入
将主机名(ABCD01)和主机IP添加到hosts文件中:C:\ Windows\System32\drivers\etc\hosts

当我尝试在firefox中打开网站时(使用https:// ABCD01),我仍然得到"你的连接不安全".我错过了什么？

Answer 1

Cry*_*t32 9

有很多问题:

IIS证书生成器使用SHA1签名算法创建自签名证书,这在现代浏览器中已过时.您必须使用不同的工具来创建测试证书.例如,使用PowerShell New-SelfSignedCertificatecmdlet可以指定签名算法.看看这篇文章得到一个例子:https://stackoverflow.com/a/45284368/3997611

New-SelfSignedCertificate `
    -DnsName "ABCD01" `
    -CertStoreLocation "cert:\LocalMachine\My" `
    -FriendlyName "test dev cert" `
    -TextExtension "2.5.29.37={text}1.3.6.1.5.5.7.3.1" `
    -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment `
    -Provider "Microsoft RSA SChannel Cryptographic Provider" `
    -HashAlgorithm "SHA256"

IIS证书生成器无法使用Google Chrome中需要的SAN(使用者备用名称)证书扩展来构建证书.您必须使用不同的工具来创建测试证书.请查看上面的示例以供参考.
Google Chrome使用内置Windows证书存储来建立信任,而FireFox则使用自己的证书存储.因此,将证书添加到Windows证书存储区后,您必须手动将测试证书导入FireFox.

为 2019 年找到此答案的任何人更新：IIS 证书生成器现在使用更安全的 SHA256RSA 算法。您可以通过转到“服务器证书 -> 您的证书 -> 查看 -> 详细信息”来检查证书的算法。 (4认同)

归档时间：	8 年，8 月前
查看次数：	5793 次
最近记录：	8 年，8 月前