問題解答

HTTPS 簡(jiǎn)介以及 Septentrio 接收器中證書的使用

HTTPS 代表安全超文本傳輸協(xié)議，是一種用于保護(hù)兩個(gè)系統(tǒng)之間通信安全的協(xié)議。為了實(shí)現(xiàn)這一點(diǎn)，HTTP 請(qǐng)求是通過使用 SSL（安全套接字層）或 TLS（傳輸層安全）協(xié)議的加密鏈接發(fā)送的。為了建立SSL/TLS隧道，需要以證書的形式提供SSL通信密鑰。證書主要分為三種類型；自簽名、內(nèi)部證書頒發(fā)機(jī)構(gòu)（以下簡(jiǎn)稱 CA）簽名以及由瀏覽器信任鏈中的 CA 簽名的證書。

自簽名證書是最容易獲得的，但也是最不安全的，因?yàn)闊o法確認(rèn)我們正在直接與所需的服務(wù)器對(duì)話，因?yàn)槿魏稳硕伎梢陨勺C書并且無法進(jìn)行驗(yàn)證。由內(nèi)部證書頒發(fā)機(jī)構(gòu)簽名的證書有一種機(jī)制來確認(rèn)我們正在與正確的服務(wù)器進(jìn)行通信。該機(jī)制就是證書，由內(nèi)部證書頒發(fā)機(jī)構(gòu)簽名，該機(jī)構(gòu)作為根證書頒發(fā)機(jī)構(gòu)插入瀏覽器中。這允許驗(yàn)證該機(jī)構(gòu)簽署的證書，以確保它來自可信來源。缺點(diǎn)是您需要在每個(gè)瀏覽器中導(dǎo)入根證書頒發(fā)機(jī)構(gòu)，該機(jī)構(gòu)將用于與接收者進(jìn)行通信。由信任鏈中的 CA 簽署的證書通常被認(rèn)為是最安全的。這種方法的主要問題是需要為每個(gè)地址購(gòu)買證書，并且服務(wù)器必須公開供 CA 確認(rèn)其有效性和所有權(quán)。另一個(gè)問題是它不適用于動(dòng)態(tài) DNS 提供商，它們通常不支持第三方證書（可能可以從 dyndns 提供商處購(gòu)買 dyndns 證書）。

PEM認(rèn)證文件

PEM 證書文件（級(jí)聯(lián)證書容器文件）包含整個(gè)證書鏈，包括公鑰、私鑰和根證書。它是 RFC 1421 至 1424 標(biāo)準(zhǔn)中定義的標(biāo)準(zhǔn)文件。

Septentrio 接收器 Web 界面中的 HTTP/HTTPS

該界面位于接收器 Web 界面中的通信 > Web 服務(wù)器下。它提供了 HTTP/HTTPS 開關(guān)以及上傳 *.pem 證書文件的選項(xiàng)。

可以在接收器運(yùn)行時(shí)在 HTTP 和 HTTPS 之間進(jìn)行切換，并且可以將是否啟用 HTTPS 保存為配置的一部分。接收器的Web界面可以設(shè)置為HTTP+HTTPS、僅HTTP或僅HTTPS模式。對(duì)于僅限 HTTPS，必須提供有效的證書。如果沒有可用的（CA 簽名的）證書，則接收者會(huì)生成自簽名證書，從而使 HTTPS 選項(xiàng)成為默認(rèn)選項(xiàng)。

當(dāng)接收方處于僅 HTTPS 模式時(shí)，所有通過 HTTP 的連接都會(huì)被阻止。當(dāng)接收方處于僅 HTTP 模式時(shí)，所有通信都將重定向到同一頁面的 HTTPS 版本。HTTP 在端口 80 上運(yùn)行，但 HTTPS 需要端口 443。這些是不可配置的端口，但了解這一點(diǎn)對(duì)于防火墻設(shè)置和端口轉(zhuǎn)發(fā)非常有用。

例如; 要使接收器通過 HTTP 從內(nèi)部網(wǎng)絡(luò)訪問，但限制其通過 HTTPS 在 Internet 上訪問，應(yīng)選擇 HTTP+HTTPS，并且應(yīng)使用防火墻配置關(guān)閉接收器的 80 端口（同時(shí)保持 443 開放）。

上傳證書

證書必須采用 pem 格式，并在同一文件中定義私鑰。私鑰不應(yīng)與第三方共享，因此無法檢索上傳的 pem 證書。上傳的證書可以使用 Chrome 開發(fā)工具的“安全”選項(xiàng)卡進(jìn)行檢查。當(dāng)上傳“安全”（非自簽名）pem 證書時(shí)，瀏覽器將對(duì)其進(jìn)行識(shí)別。