我需要下载远程服务器的 SSL 证书（不是 HTTPS，但 SSL 握手应该与 Google Chrome / IE / wget 相同，并且 curl 都给出证书检查失败错误）并将证书添加为我的笔记本电脑 Windows 中的可信证书证书存储，因为我无法让我的 IT 人员给我 CA 证书。

这是用于办公室通信，因此我无法真正使用实际客户端来获取证书。

我该怎么做，我有 Windows 7 和一堆 Linux，所以任何工具/脚本语言都可以。

如何检索特定网站提供的 SSL/TLS 密码套件列表？

我试过 openssl，但如果你检查输出：

$ echo -n | openssl s_client -connect www.google.com:443 
CONNECTED(00000003)
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x
MTEyMTgyMzU5NTlaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHFA1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKFApHb29nbGUgSW5jMRcw
FQYDVQQDFA53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
gYEA6PmGD5D6htffvXImttdEAoN4c9kCKO+IRTn7EOh8rqk41XXGOOsKFQebg+jN
gtXj9xVoRaELGYW84u+E593y17iYwqG7tcFR39SDAqc9BkJb4SLD3muFXxzW2k6L
05vuuWciKh0R73mkszeK9P4Y/bz5RiNQl/Os/CRGK1w7t0UCAwEAAaOB5zCB5DAM
BgNVHRMBAf8EAjAAMDYGA1UdHwQvMC0wK6ApoCeGJWh0dHA6Ly9jcmwudGhhd3Rl
LmNvbS9UaGF3dGVTR0NDQS5jcmwwKAYDVR0lBCEwHwYIKwYBBQUHAwEGCCsGAQUF
BwMCBglghkgBhvhCBAEwcgYIKwYBBQUHAQEEZjBkMCIGCCsGAQUFBzABhhZodHRw
Oi8vb2NzcC50aGF3dGUuY29tMD4GCCsGAQUFBzAChjJodHRwOi8vd3d3LnRoYXd0
ZS5jb20vcmVwb3NpdG9yeS9UaGF3dGVfU0dDX0NBLmNydDANBgkqhkiG9w0BAQUF
AAOBgQCfQ89bxFApsb/isJr/aiEdLRLDLE5a+RLizrmCUi3nHX4adpaQedEkUjh5
u2ONgJd8IyAPkU0Wueru9G2Jysa9zCRo1kNbzipYvzwY4OA8Ys+WAi0oR1A04Se6
z5nRUP8pJcA2NhUzUnC+MY+f6H/nEQyNv4SgQhqAibAxWEEHXw==
-----END …

每当我试图了解有关 SSL 的任何内容时，我总是很难跟踪“密钥”和“证书”所指的内容。我担心很多人会错误地或互换地使用它们。密钥和证书之间有标准区别吗？

我的工作场所拦截 SSL 连接，查看它们的内容，然后将数据传入和传出我的机器和远程主机 - 一种中间人攻击。这在公司或企业环境中并不少见。

现在我的电脑上运行着一个虚拟机。虚拟机没有实际机器拥有的证书，这些证书使 MITM 能够透明地工作。结果，我收到此消息：

我能做些什么来解决这个问题？

有些网站在 URL 旁边显示公司名称（在 Chrome 中），有些则没有。

我如何为我的网站设置这个？有什么原因或为什么我不想这样做吗？

我想设置我自己的 OCSP Responder 用于测试目的，这需要我有一个根证书，其中包含一些从中生成的证书。

我已经设法使用 来创建自签名证书openssl，并且我想将其用作根证书。下一步是创建派生证书，但是，我似乎找不到有关如何执行此操作的文档。有谁知道我在哪里可以找到这些信息？

• 编辑：
  回想起来，我的问题还没有完全回答，为了澄清这个问题，我将这样表示我的证书链：Root > A > B > C > ...
  
  

我目前可以通过下面的方式创建 Root 和 A 证书，但我还没有找到如何制作更长的链：

# Root certificate is created like this:
  openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
  openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

# Certificate A is created like this:
  openssl genrsa -out client.key 1024
  openssl req -new -key client.key -out client.csr
  openssl ca -in client.csr -out client.cer

• 该命令隐式依赖于根证书，它会在 OpenSSL …

我想通过 SSL、HTTPS 和其他基于 SSL/TLS 的安全基于文本的 Internet 协议测试客户端与 IMAP 的连接，就像我使用 telnet 或 netcat 如果它们没有通过安全协议进行隧道连接一样。有没有办法让 telnet 或 netcat 通过 SSL/TLS，例如使用管道或备用程序？

我的网站有一个 SSL 证书与网站域不对应的问题。Chrome 给了我这个网站的警告（这是正确的），我必须手动忽略。每次重新启动 Chrome 时，我都需要再次忽略证书问题。

我已经尝试使用certutil、 usingC,,和P,,trustargs将证书添加为受信任的证书，但它不起作用。我找不到一组 trustargs 会告诉它忽略哪个域正在使用证书。

有没有办法告诉 Chrome（或 certutil）信任这个证书，无论域使用它？

当我在 Chrome 中访问任何 github.com 页面时，我收到一个非常丑陋的错误：

您尝试访问 github.com，但服务器提供了由不受您计算机操作系统信任的实体颁发的证书。这可能意味着服务器已生成自己的安全凭据，Chrome 无法依赖这些凭据获取身份信息，或者攻击者可能试图拦截您的通信。

您无法继续，因为网站运营商已要求提高此域的安全性。

当我访问https://www.digicert.com/ 时也会发生同样的事情（在 Chrome 和 curl 中）。这个奇怪的问题大约在一个半星期前开始。

这是我单击地址栏中的坏锁图标时看到的内容：

但是 gist.github.com 工作得很好：

它也不适用于 curl：

在 Firefox 中一切正常。

如何解决我的根 CA 问题？

这是它在 Firefox 中的样子：

更新：

我注意到链中的第一个证书在我损坏的 Chrome/Safari 中与我另一台计算机上的 Chrome 不同。

（不再有讨厌的红色 X，因为我在 Safari 中信任它。）看看发行人有何不同？我能怎么办？

我有一个通过 SSL 进行通信的应用程序，但是，端口 443 已被同一服务器上的 IIS 实例使用。我可以使用 443 以外的其他端口进行 SSL 通信吗？