创建自签证书和iis创建自签证书

本文给各位探讨创建自签证书的一些研究，即使网站安装了自签名SSL证书，自签名SSL你可以自己签发证书，自己签名SSL证书的有效期特别长，所以一些小机构通常使用自签名证书。同时也会对iis相关说明创建自签证书！

本文目录清单：

1、自签名SSL证书有哪些风险？？

2、如何创建自签名？ssl证书

3、如何在CentOS7上为Nginx创建自签名SSL证书

一、自签名SSL证书有哪些风险？？

什么是自签名？SSL证书？

自签证书是不可信的CA机构颁发的数字证书，即自己颁发的证书。

自签证书是不可信的CA机构颁发的数字证书，即自己颁发的证书。CA由一些公司或软件开发由一些公司或软件开发商签发的。

虽然自签证书使用与X.同一加密密钥对架构的509证书，但缺乏信任第三方的验证。缺乏独立程中缺乏独立验证会产生额外的风险，这就是为什么自签证证书对公众网站和应用程序不安全的原因。

很容易被劫持和钓鱼攻击。

安全隐患：

自签证书存在严重的安全漏洞，很容易受到攻击

自签署的SSL证书：不会被浏览器信任，数据被泄漏级劫持，安全漏洞安全风险高。

自签署的SSL证书：不会被浏览器信任，数据被泄漏级劫持，安全漏洞安全风险高。

解决方案：通过网页找到安信证书，申请CA可信的SSL证书认证。
由于自签证书中没有可信根，浏览器访问域名会提示不安全信息等提醒。此外，更容易受到黑客、钓鱼网站、恶意拦截等攻击，侵犯企业和用户的安全。购买可信证书，选择天威诚信，更安全放心。

二、
如何创建自签名？ssl证书

借助openssl它可以创建，非常简单。
自签名SSL证书存在很大的安全隐患和风险，不建议安装。具体风险如下：
第一，被有心人利用
其实有心人指的是黑客。自签名SSL你可以自己签发证书，其他人也可以签发证书。黑客只是利用它的随机发行，每分钟都可以伪造一张完全相同的自我签证书来安装在钓鱼网站上，这样游客就不能区分哪个是真的，哪个是假的。
第二，浏览器会弹出警告，容易受到攻击
前面提到了自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL当用户访问证书时，浏览器会继续弹出警告，大大降低用户体验。因它不是由CA验证签发，所以CA无法识别签名者，也无法信任它，所以私钥也是徒劳的，网站的安全性会大大降低，从而给攻击者一个机会。

三是安装方便，吊销困难

自签名SSL证书没有可访问的撤销列表，因此浏览器没有实时检查证书的状态。一旦证书丢失或被盗，它很可能被用于非法使用，使用户遭受损失。同时，浏览器还会发布吊销列表不可用，是否继续？警告不仅降低了网页的浏览速度，而且大大降低了访问者对网站的信任。
第四，有效期越长，越容易破解
自签名SSL证书的有效期特别长，从几年到几十年不等。信任CA机构签发的SSL该证书的有效期不超过2年，因为黑客破解的可能性越长。因此，超长有效期是其缺点。

三、

如何在CentOS7上为Nginx创建自签名SSL证书

1.生成自签证证书

通常要配置https所有的服务器都需要正式的CA机构认证的X509证书。当客户端连接时https服务器将通过CA
的共钥来检查这个证书的正确性。但要获得CA证书是一件很麻烦的事情，而且要花一定的钱。因此，一些小机构通常使用自签证书。也就是自己做
CA，签署自己的服务器证书。

这个过程有两个主要步骤，第一步是生成自己CA然后生成各种服务器的证书并签名。我是用OpenSSL生成自签证书。

第一步是制作CA的证书：

opensslgenrsa-des3-out2048

opensslreq-new-x509-days3650-key-out

这将生成和文件，前者在使用签名时存储必要的密钥，应妥善保管。后者可以公开。上述命令的有效期为10年。

用命令

opensslx509-in-text-noout

查看文件的内容。

有了CA证书之后，您可以为您的服务器生成证书：

opensslgenrsa-des3-out1024

opensslreq-new-key-out

opensslx509-req-in-out-sha1-CA-CAkey-CAcreateserial-days3650

生成前两个命令key、csr文件，最后一个命令是通过制定的x509签名证书。

需要注意的是，在执行上述第二项命令时，CommonName选项应当输入的是服务器的域名，否则在用户通过https每次访问协议时，都会有额外的提示信息。

2.配置Apache服务器

首先，创建/etc/apache2/ssl将新制作的和文件复制到目录中。

然后执行命令

a2emodssl

激活Apache的SSL然后在/etc/apache2/sites-enable/
添加虚拟主机的过程类似于添加普通虚拟主机。区别在于主机的端口应该是443。配置如下：

NameVirtualHost*:443

ServerNamelocalhostDocumentRoot/var/wwwSSLEngineOnSSLCipherSuite
HIGH:MEDIUMSSLProtocolall-SSLv2SSLCertificateFile/etc/apache2/ssl/
SSLCertificateKeyFile/etc/apache2/ssl/SSLCACertificateFile/etc/apache2/ssl/
Orderdeny,allowAllowfromlocalhost

ServerNamelocalhostDocumentRoot/var/wwwOrderdeny,allowAllowfrom
localhost

以上配置确保用户在访问443和80端口时能看到相同的内容，仅仅使用不同的协议。修改配置后，可以重启Apache此时需要输入服务器
的密码。修改配置后，可以重启Apache此时需要输入服务器
密码。使用浏览器访问

此时，您应该看到一个弹出对话框，以确认您是否相信该网站的证书。选择信任后，您可以查看该网站的内容。

由于大多数Apache服务器在服务器启动时自动启动，以避免启动Apache输入密码时，可以使用以下命令生成不加密的文件：

opensslrsa-in-out

用新生成的代替原始的key文件即可。通常要配置https的服务器，都需要一个由正式的ca机构认证的x509证书。当客户端连接时https
服务器将通过ca共钥检查证书的正确性。

但要获得ca证书是一件很麻烦的事情，而且要花一定的钱。

因此，一些小机构通常使用自签证书。
也就是自己做ca，签署自己的服务器证书。这就是创建自签证书的分析。感谢您花时间阅读本网站的内容，了解更多信息iis别忘了在这个网站上找到创建自签证书的信息。