This topic created in 2215 days ago, the information mentioned may be changed or developed.
有一些特殊需求需要在 VPS 搭建伪站,本地 Dnsmasq 劫持访问,需要配置 HTTPS 证书,试了下 GMCert 国密证书,本地导入后还是,浏览器还是会提示不信任,第一次接触 CA 证书这种技术,想问下有没有办法在无法验证域名所有权( cloudflare 免费 15 年的那个需要验证域名所有权)的情况下,浏览器默认信任签发机构,不用另行导入
 |
1
lcdtyph Apr 13, 2020 via iPhone  2
如果“ 在无法验证域名所有权的情况下,浏览器默认信任签发机构,不用另行导入”,那么整个公钥认证体系就没有任何意义了
|
 |
2
tyhunter OP @lcdtyph 刚仔细想了下,这点确实小白了,请教下现在 GMCert 浏览器还是会提示不信任,有没有其他免费签发机构可以推荐的,本地导入公钥的形式
|
 |
3
Tink PRO 不可能
|
 |
4
Keyes Apr 13, 2020 via iPhone
本地能导直接自签就行了
|
 |
5
hundan Apr 13, 2020 via iPhone
洗洗睡吧 梦里啥都有
|
 |
6
darknoll Apr 14, 2020 via Android
应该不行
|
 |
7
lookas2001 Apr 14, 2020
ca 就是防 mitm 以及身份验证用的,如果存在一种方法可以绕过这种安全机制,那要 ca 干啥呢?
要么导入根证书,要么用不安全的浏览器(比如 360 不安全浏览器) |
 |
8
cydian Apr 14, 2020 via Android
不是 应该不行,
而是 决定不行。 |
|
9
cydian Apr 14, 2020 via Android
而是 绝对不行
|
|
10
lcdtyph Apr 14, 2020 1
@tyhunter #2
我没用过 gmcert,不过想来应该是你导入的不对,或者是下载的证书缺少中间证书链 我之前用的 mkcert https://github.com/FiloSottile/mkcert 本地生成证书,还可以自动安装根证书,很方便 |
|
11
tyhunter OP @lcdtyph 感谢大佬,现在就是 GMcert 下载回来的证书,导入本地会被 Windows 提示无法验证,下载回来是有三个 pem 文件,除了第一个 cert.pem 改名为 cert.crt 可以导入外,其他两个都不行,我试试你说的
|
 |
13
ZeoKarl Apr 14, 2020 via iPhone
浏览器默认信任签发机构,那还要证书干什么🌚,直接 http 不好么
|
 |
14
chinvo Apr 14, 2020 via iPhone
两个事
1 、MITM 是违法的,即使你在为某些奇怪的机构工作 2 、Windows 不支持国密 |
Select Language