为什么浏览器不信任来自 IIS 的自签名 SSL 证书?

问题描述 投票:0回答:1

我有一个外部托管的 IIS Web 服务器,我在其中运行我的网站。我想向该网站添加自签名证书并在本地客户端上信任它,以从浏览器中删除“不安全连接”。

到目前为止我所做的如下:

  1. 通过“服务器证书 -> 创建自签名证书”路径在 IIS 中创建自签名证书。证书颁发给服务器名称(例如
    ABCD01
  2. 使用自签名证书创建了具有 HTTPS 绑定的网站。
  3. 使用“服务器证书 -> 导出”路径从 IIS 导出自签名证书。这产生了一个 .pfx 文件
  4. 通过“管理计算机证书->受信任的根证书颁发机构->导入”路径将.pfx证书文件导入到本地客户端
  5. 将服务器的主机名(
    ABCD01
    )和主机的IP地址添加到hosts文件中:
    C:\Windows\System32\drivers\etc\hosts

但是,当我尝试在 Firefox 中打开该网站(使用 

https://ABCD01
)时,我仍然收到以下错误:

您的连接不安全。

Chrome 也无法运行。我错过了什么?

iis certificate ssl-certificate iis-8
1个回答
27
投票

存在多个问题:

  1. IIS 证书生成器使用 SHA1 签名算法创建自签名证书,该算法在现代浏览器中已过时。您必须使用不同的工具来创建测试证书。例如,使用 PowerShell 
    New-SelfSignedCertificate
    cmdlet,您可以在其中指定签名算法。查看这篇文章以获取示例:https://stackoverflow.com/a/45284368/3997611
新的自签名证书`
    -DnsName“ABCD01”`
    -CertStoreLocation“cert:\LocalMachine\My”`
    -FriendlyName“测试开发证书”`
    -TextExtension "2.5.29.37={文本}1.3.6.1.5.5.7.3.1" `
    -密钥使用数字签名、密钥加密、数据加密`
    -提供商“Microsoft RSA SChannel 加密提供商”`
    -哈希算法“SHA256”

  1. IIS 证书生成器无法使用 Google Chrome 中所需的 SAN(主题备用名称)证书扩展构建证书。您必须使用不同的工具来创建测试证书。请看上面的例子作为参考。

  2. Google Chrome 使用内置的 Windows 证书存储来建立信任,而 FireFox 使用自己的证书存储。因此,将证书添加到 Windows 证书存储后,您必须手动将测试证书导入到 FireFox。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.