IIS自签名证书自签署和验证全过程详解 (iis自签名证书浏览器信任)

IIS自签名证书自签署和验证全过程详解（浏览器信任篇）

一、引言

在互联网信息服务的日常运营中，安全始终是我们不可忽视的核心问题。
为了保障数据传输的安全性，我们常常使用SSL证书来对通信进行加密。
在某些测试环境或内部网络中，购买第三方SSL证书可能会带来不必要的成本。
这时，IIS自签名证书便成为了一个理想的选择。
本文将详细介绍IIS自签名证书的自签署及验证全过程，并着重讲解如何在浏览器中建立对自签名证书的信任。

二、IIS自签名证书概述

IIS（Internet Information Services）自签名证书是一种由内部信任机构颁发的SSL证书。
由于其是自签署的，因此在部署前需要进行相应的配置，以确保浏览器对其的信任。
虽然这种证书在生产环境中可能不是最佳选择，但在开发、测试或内部网络等场景下，使用自签名证书具有高性价比和便利性。

三、IIS自签名证书自签署过程

1. 生成根证书私钥：我们需要生成一个根证书的私钥。这可以通过OpenSSL等工具完成。生成的私钥文件需要妥善保管，避免泄露。
2. 创建根证书公钥：在生成私钥后，我们可以根据私钥生成相应的公钥。公钥将用于签发最终的SSL证书。
3. 签发SSL证书：使用根证书公钥签发SSL证书。在此过程中，需要设置证书的过期时间、颁发者信息等关键参数。
4. 在IIS中安装证书：将生成的SSL证书导入IIS服务器，并配置相应的网站或应用程序使用此证书。

四、浏览器信任IIS自签名证书

由于自签名证书不被大多数浏览器默认信任，因此我们需要手动配置浏览器以信任我们的自签名证书。以下是针对常见浏览器的配置方法：

1. 谷歌浏览器（Google Chrome）：

（1）打开浏览器，访问网站并使用自签名证书。
（2）在地址栏旁边，点击锁形图标，选择“连接不安全”。
（3）在弹出的对话框中，选择“继续前往”以接受自签名证书的风险。
（4）在浏览器设置中，找到“管理证书”选项，并导入根证书公钥文件。之后，浏览器便会信任该自签名证书。

2. 微软Edge浏览器：

（1）与谷歌浏览器类似，先访问使用自签名证书的网页。
（2）在地址栏旁边的锁形图标处点击“查看连接详情”。
（3）在弹出窗口中，选择“高级”选项卡。
（4）找到与自签名证书相关的选项，进行信任配置。导入根证书公钥文件后，Edge浏览器将信任该自签名证书。

3. Mozilla Firefox浏览器：

（1）访问使用自签名证书的网页。
（2）在地址栏旁边的锁形图标处点击“查看连接信息”。
（3）在弹出窗口中，选择“更多操作”。
（4）选择“添加安全例外”或导入根证书公钥文件至浏览器的信任库。配置完成后，Firefox将信任此自签名证书。

五、验证IIS自签名证书是否生效

完成浏览器对自签名证书的信任配置后，我们需要验证配置是否生效。
访问配置了自签名证书的IIS网站，观察浏览器是否显示绿色的锁形图标或其他表示连接安全的标志。
还可以使用SSL检测工具对连接进行深度检测，以确保SSL配置的安全性。

六、总结与建议

使用IIS自签名证书可以在测试环境或内部网络中实现低成本甚至零成本的SSL加密通信。
在生产环境中，出于安全性和稳定性的考虑，建议购买和使用由权威认证机构签发的SSL证书。
在配置自签名证书时，务必妥善保管私钥文件，避免泄露造成安全风险。
本文详细介绍了IIS自签名证书的自签署及验证全过程，并着重讲解了如何在常见浏览器中建立对自签名证书的信任，希望对相关从业者有所帮助。

openssl 生成ssl证书能不能用

用openssl生成的ssl证书也叫自签名ssl证书，这种证书不建议使用，因为有很多弊端：第一、被“有心者”利用。其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。第二、浏览器会弹出警告，易遭受攻击前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续弹出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。第三、安装容易，吊销难自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。第四、超长有效期，时间越长越容易被破解自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。

怎么制作ssl证书，在windows上

为网站生成自签名SSL证书下载Internet Information Services (IIS) 6.0 Resource Kit Tools安装证书打开IIS 信息服务管理器->选择网站属性->目录安全性->点击服务器证书->选择处理挂起的请求并安装证书->选择你复制的文件下一步->选择SSL端品号完成。测试用访问。

如何在iis中设置https访问

您好！首选，您需要申请一张SSL证书，沃通CA有免费的SSL证书申请。申请成功后，部署了IIS服务器就可以了，具体怎么部署，因为篇幅有限，你可以到他们站点去看看相关指南谢谢！希望可以帮到您，期望采纳！