ฉันสร้างใบรับรองหลัก (ลงนามด้วยตนเอง) และลงนามใบรับรองเซิร์ฟเวอร์เว็บโดยใช้ระบบที่ฉันพัฒนาใน Java (ใบรับรองเว็บใช้ใน Apache 2.4.41)
ใบรับรองใช้งานได้โดยไม่มีปัญหาใน Linux และ Mac (ทดสอบในเบราว์เซอร์ Webkit และ Firefox ที่แตกต่างกัน) ใบรับรองและคะแนนการตั้งค่าเซิร์ฟเวอร์ เอ+ โดยใช้ ทดสอบ sl.sh.
ใบรับรอง CA ได้รับการติดตั้งอย่างถูกต้องโดยไม่มีการเตือนใดๆ แต่ไม่ยอมรับ (ยังคงแสดงคำเตือนรูปสามเหลี่ยมสีแดงและ NET::ERR_CERT_AUTHORITY_INVALID error) ใน Windows (ทดสอบกับอุปกรณ์ Windows 10 จำนวน 2 เครื่อง โดยเครื่องหนึ่งเป็นการติดตั้งใหม่) ทดสอบใน Chrome, Edge และ Firefox
ฉันได้ลองหลายอย่างแล้ว:
certlm.msc, certutil.exe, ผ่าน การตั้งค่า หรือดับเบิลคลิกที่ไฟล์ฉันได้อ่านคำถามที่เกี่ยวข้องในไซต์นี้แล้ว (ดูเหมือนจะไม่มีใครแก้ไขได้) และฉันได้ค้นหาวิธีแก้ปัญหาในเว็บไซต์อื่นแล้ว แต่ไม่สำเร็จ
มันคือ ปลอม ใบรับรอง CA ที่สร้างโดยระบบเดียวกัน (ด้วยการตั้งค่าเดียวกัน ยกเว้นความยาวของคีย์ที่นี่คือ 1024 เพื่อลดขนาดของโพสต์นี้):
----- เริ่มต้นรหัสส่วนตัว -----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----- สิ้นสุดรหัสส่วนตัว -----
-----เริ่มต้นใบรับรอง-----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-----จบใบรับรอง-----
รุ่น: 3
หมายเลขซีเรียล: 6873848332899071428
IssuerDN: CN=Fake Authority,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
วันที่เริ่ม: พฤ. 11 พ.ย. 06:06:53 JST 2021
วันสุดท้าย: วันศุกร์ที่ 11 พฤศจิกายน 00:00:00 JST 2022
SubjectDN: CN=หน่วยงานปลอม,C=US,ST=CA,L=LA,O=ตัวอย่าง LTD,OU=ไม่มี,[email protected]
รหัสสาธารณะ: รหัสสาธารณะ RSA [b8:07:ef:1f:8e:91:c0:ab:12:db:38:3f:76:e7:0a:7f:21:9d:fe:49],[56 :66:d1:a4]
modulus: 983fc7e042334c460e2682a9ce61fbcdf0ae367f1d5c5a67b1872bb83fb1c6b87ef175290b800eac7e8837de8713696798428e602c8018169086dc13431dfc2eacad24564b8fc47a800f4601492b693948d0b42f54082340ca734c52ef2f4246a7283c5594b7b9dc51ebb04591a60cc61b362a9c6a68230967e720f441ee4815
เลขชี้กำลังสาธารณะ: 10,001
อัลกอริทึมลายเซ็น: SHA256WITHRSA
ลายเซ็น: 610d8fbef7d049ef56b46ea9789e01e766c6d4cc
ec53e8c4f71738a1611fbde924a633a467875b93
cf6005578066c4b175f7dc41f14fc91284f6fb9b
62b77dc6e7a6500184e7567232a25631ac05471b
57755d5ee9ad4e4c7d6a2a4b3ad686f0b51b9104
ec1ea145b82ab3928022c1dd58665ca55e609895
869bc90b1ce2fcc2
ส่วนขยาย:
สำคัญ (จริง) ข้อจำกัดพื้นฐาน: isCa (จริง)
สำคัญ (จริง) การใช้งานคีย์: 0x6
สำคัญ (เท็จ) 2.5.29.14 ค่า = DER
----- เริ่มต้นรหัสส่วนตัว -----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCMzMPwSTHQTaxu
rtfnFFVXLXnDOkolG2iuA4H7KkPrizZ24vloFCU353wsT2YVJ9ykIw+Y58vXqEw8
QjlhOHMRMetWeaEMH562uhakb8S+KArQN7SZh9vw7TF7OwiCIg/sWcle87j9ETSn
NtZ4M0HMQ+s+AOX0jDLDWAW08wXk0hXAOHMvaaqnC3NoI94/joQoElctaCpUhrov
kmmDIrJHufplUtMdJrqkzhrUfzKHkslTBLeTHAHHgNdX45JjYibZlqVY3rLns9NI
DIN199ciAnJpqSlvp65SMLJUMFFp2kWK0/S8gnTo41QjcGMBNYR4KiGAPmZPzjaR
QFw9G8mdAgMBAAECggEAWUQhHaBqMpRsNCgpvdmIWaL9RacZBvmfnmOe7uxW72jt
eOZiFXhgOFdMxJL6N4N0QaPw6ZJcDDgpTTL3SgoN+eLaP5MRZaxOZa8JV+t8osqk
QGpw173o1ZCsBGLi/A44ZjJulwKST++uoC0GQGLO3oBZDpBnOmoAbRTLWXOSUwVe
pFyWB/5VYtBKAaTwd8MmoNuTCL9o1CGutBHsaUCglnHv/Z2Ar7JLJaiDPEu2/kSe
H/5YroI6L1FF8X0TsCpcxOiMOW/eFzW6TDrbo/kggHRnVRGjoM+rPr8E7nKYlNks
whQI2aA2pcazWoBBwzYyscD7jXQJfKNNZQ3pun1aQQKBgQDzBeanFuzZmYcVjfq3
QmWydKIIMyn+FuqiXhP1Hs9sRcsFS+FfG4RfZJXJNpJ+4NaAOgTyvofpmZ0g6M6a
M5ฮี+Hhl/942xzcUqpiK3pJ0YaRy/aluo33O6tyDXAmvPqLBkJO0EfOneBHaAe
KjVm3vK8xvf+fpE022rm36AU+QKBgQCUUXwDAEvWpwhlrWlzT2b1iONKWsZNV3vd
Uy83zqZXJ2P+biaz9xFaNCiKXo5ziZU1XZVPg8+rYv2R3kxtAjgjNUwxr6vF/ZBs
2gpLy0YhoCjk/xcIIAFldna/a7vTUPDSNn4HWxkjEqgMu+GEzyngjZkm8sY7v3bi
oXgPtuBWxQKBgQDkzVt5WQYpYHhj/MZdn2+r8k9TNQiGJwFFWRmlIBrdr2ATXnuT
VY7tWQAE7xJBzmFlXDqoaGYBsxTSlR1e5NDBoy9XA1aA7IuArNtEfmBuMQG5X+hX
/toJOkKk7uhcrAaVJGt124nWYu98am4DuG2KqsESpql5u6Puhd5B+6z10QKBgCT1
hSyOR1eu+dW0d8GHOMXYnaLqqd2d/jyxvONwOF0hcLZ3JmfUGlvbAXsxgtfhoe/R
เป็นSKOWxJ/MWbG+U50rh5/6oO7HdfRjsrBLq2ictBwQ6CEvG2G5DIvafnbU8udsNUB
RTh6B/KIdJ3vt4vLv8i4IEDnYGSFGo/w4qUv0gltAoGACLthSVxyNdZCX/21WRdq
THzdUqV39gkaNVJdT10UQzhzMZSBchoiSDSNha33XEwJqr3UivAuYeAqTeRI6jdr
7BBjXjQ0d3OhtgwqL2AHHzudzYhvSoUmPgfJ1YเราJvUVzGDowz5z6HEjc637GZU4
+ph1ewJMz75BlRZjT7kfi5o=
----- สิ้นสุดรหัสส่วนตัว -----
-----เริ่มต้นใบรับรอง-----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-----จบใบรับรอง-----
รุ่น: 3
หมายเลขซีเรียล: 6648705147606043571
IssuerDN: CN=Fake Authority,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
วันที่เริ่ม: พฤ. 11 พ.ย. 06:08:37 JST 2021
วันสุดท้าย: วันศุกร์ที่ 11 พฤศจิกายน 00:00:00 JST 2022
SubjectDN: CN=fake.example.com,C=US,ST=CA,L=LA,O=ตัวอย่าง LTD,OU=ไม่มี,[email protected]
รหัสสาธารณะ: รหัสสาธารณะ RSA [2e:cd:8e:16:02:6f:b3:27:16:01:21:cb:1a:2b:9b:27:18:71:86:87],[56 :66:d1:a4]
modulus: 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
เลขชี้กำลังสาธารณะ: 10,001
อัลกอริทึมลายเซ็น: SHA256WITHRSA
ลายเซ็น: 88dd18b477a5ba113a2145a18a2d2a87e520dfff
f8340bdb76ae9da8c7ca68063b803253c7b519fa
6df302eb122cab39e30d86529e2d9810c7fa6012
e2be299ba3dad80b5f04fc8e6ee4ab2abc86becd
ee5565de54ecef3ee3ef1469ff91fd17b881d7fb
789de3d3688fe1df3029ebdf51f0fc55cb9d771f
66ad6aa5b8211929
ส่วนขยาย:
สำคัญ (จริง) ข้อจำกัดพื้นฐาน: isCa (เท็จ)
สำคัญ (เท็จ) 2.5.29.35 ค่า = ลำดับ
แท็ก [0] โดยนัย
DER ออคเต็ต สตริง[20]
ที่สำคัญ (จริง) การใช้งานคีย์: 0xa8
สำคัญ (เท็จ) 2.5.29.17 ค่า = ลำดับ
แท็ก [1] โดยนัย
DER ออคเต็ต สตริง[16]
แท็ก [2] โดยนัย
DER ออคเต็ต สตริง[16]
แท็ก [2] โดยนัย
DER ออคเต็ต สตริง[20]
สำคัญ (เท็จ) 2.5.29.14 ค่า = DER
เกิดอะไรขึ้นกับการตั้งค่าของฉัน
มีสองประเด็นเกี่ยวกับใบรับรองที่โพสต์ในคำถาม:
โปรดทราบว่าคุณยังมีตัวระบุคีย์ของหน่วยงานที่ค่อนข้างซับซ้อนในใบรับรองเอนทิตี เป็นเรื่องปกติที่จะมีแฮชอยู่ที่นี่ ซึ่งคัดลอกโดยตรงจาก Subject Key Identifier ของใบรับรองของ CA ที่ออกให้ นั่นคือ ละเว้นรายการไดเร็กทอรีและซีเรียล สิ่งที่คุณมีอาจได้ผล แต่ทำไมต้องเสี่ยง
ใบรับรองที่ลงนามโดยผู้ออกใบรับรองสมมติของคุณเองมักจะส่งข้อผิดพลาดเนื่องจาก CA ไม่ได้รับความเชื่อถือจากระบบของคุณ ในการรับล็อกสีเขียว คุณต้องเพิ่มใบรับรองที่ลงนามด้วยตนเองของผู้ออกใบรับรองไปยังผู้ออกใบรับรองรูทที่เชื่อถือได้ที่จัดเก็บในเครื่อง
แม้ว่าคุณจะเชื่อถือ CA ที่สมมติขึ้นในเครื่องของคุณเอง ใบรับรองที่ลงชื่อโดย CA นี้จะไม่ได้รับความเชื่อถือจากเครื่องอื่นๆ บนอินเทอร์เน็ต หากคุณต้องการให้เครื่องอื่นเชื่อถือใบรับรองของคุณ คุณต้องจ่ายเงินให้กับผู้ออกใบรับรองที่ถูกต้องเพื่อให้พวกเขาเซ็นใบรับรองให้คุณ
หาก CA ของคุณได้รับการติดตั้งอย่างถูกต้องแล้วใน CA รูทที่เชื่อถือได้ และความยาวของคีย์จริงของคุณคือ 1024 อาจอ่อนแอเกินไปที่จะเชื่อถือได้ ลองสร้างใหม่โดยมีความยาวอย่างน้อย 2048 เนื่องจากเบราว์เซอร์จะเลิกใช้ความยาวของคีย์ที่สั้นลง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
