HTTPS 代表安全超文本傳輸協(xié)議,是一種用于保護(hù)兩個(gè)系統(tǒng)之間通信安全的協(xié)議。為了實(shí)現(xiàn)這一點(diǎn),HTTP 請(qǐng)求是通過使用 SSL(安全套接字層)或 TLS(傳輸層安全)協(xié)議的加密鏈接發(fā)送的。為了建立SSL/TLS隧道,需要以證書的形式提供SSL通信密鑰。證書主要分為三種類型;自簽名、內(nèi)部證書頒發(fā)機(jī)構(gòu)(以下簡(jiǎn)稱 CA)簽名以及由瀏覽器信任鏈中的 CA 簽名的證書。
自簽名證書是最容易獲得的,但也是最不安全的,因?yàn)闊o法確認(rèn)我們正在直接與所需的服務(wù)器對(duì)話,因?yàn)槿魏稳硕伎梢陨勺C書并且無法進(jìn)行驗(yàn)證。由內(nèi)部證書頒發(fā)機(jī)構(gòu)簽名的證書有一種機(jī)制來確認(rèn)我們正在與正確的服務(wù)器進(jìn)行通信。該機(jī)制就是證書,由內(nèi)部證書頒發(fā)機(jī)構(gòu)簽名,該機(jī)構(gòu)作為根證書頒發(fā)機(jī)構(gòu)插入瀏覽器中。這允許驗(yàn)證該機(jī)構(gòu)簽署的證書,以確保它來自可信來源。缺點(diǎn)是您需要在每個(gè)瀏覽器中導(dǎo)入根證書頒發(fā)機(jī)構(gòu),該機(jī)構(gòu)將用于與接收者進(jìn)行通信。由信任鏈中的 CA 簽署的證書通常被認(rèn)為是最安全的。這種方法的主要問題是需要為每個(gè)地址購(gòu)買證書,并且服務(wù)器必須公開供 CA 確認(rèn)其有效性和所有權(quán)。另一個(gè)問題是它不適用于動(dòng)態(tài) DNS 提供商,它們通常不支持第三方證書(可能可以從 dyndns 提供商處購(gòu)買 dyndns 證書)。
PEM 證書文件(級(jí)聯(lián)證書容器文件)包含整個(gè)證書鏈,包括公鑰、私鑰和根證書。它是 RFC 1421 至 1424 標(biāo)準(zhǔn)中定義的標(biāo)準(zhǔn)文件。
該界面位于接收器 Web 界面中的通信 > Web 服務(wù)器下。它提供了 HTTP/HTTPS 開關(guān)以及上傳 *.pem 證書文件的選項(xiàng)。
可以在接收器運(yùn)行時(shí)在 HTTP 和 HTTPS 之間進(jìn)行切換,并且可以將是否啟用 HTTPS 保存為配置的一部分。接收器的Web界面可以設(shè)置為HTTP+HTTPS、僅HTTP或僅HTTPS模式。對(duì)于僅限 HTTPS,必須提供有效的證書。如果沒有可用的(CA 簽名的)證書,則接收者會(huì)生成自簽名證書,從而使 HTTPS 選項(xiàng)成為默認(rèn)選項(xiàng)。
當(dāng)接收方處于僅 HTTPS 模式時(shí),所有通過 HTTP 的連接都會(huì)被阻止。當(dāng)接收方處于僅 HTTP 模式時(shí),所有通信都將重定向到同一頁面的 HTTPS 版本。HTTP 在端口 80 上運(yùn)行,但 HTTPS 需要端口 443。這些是不可配置的端口,但了解這一點(diǎn)對(duì)于防火墻設(shè)置和端口轉(zhuǎn)發(fā)非常有用。
例如; 要使接收器通過 HTTP 從內(nèi)部網(wǎng)絡(luò)訪問,但限制其通過 HTTPS 在 Internet 上訪問,應(yīng)選擇 HTTP+HTTPS,并且應(yīng)使用防火墻配置關(guān)閉接收器的 80 端口(同時(shí)保持 443 開放)。
證書必須采用 pem 格式,并在同一文件中定義私鑰。私鑰不應(yīng)與第三方共享,因此無法檢索上傳的 pem 證書。上傳的證書可以使用 Chrome 開發(fā)工具的“安全”選項(xiàng)卡進(jìn)行檢查。當(dāng)上傳“安全”(非自簽名)pem 證書時(shí),瀏覽器將對(duì)其進(jìn)行識(shí)別。
要?jiǎng)h除無效證書,必須發(fā)出“erst,hard,HTTPSCertificate”命令。這將導(dǎo)致接收方刪除證書、重新啟動(dòng)并生成新的自簽名證書。
通過 HTTPS 連接到接收器(將 https:// 添加到 IP 地址)
刪除現(xiàn)有證書(通過管理 > 重置)
重新打開接收者的網(wǎng)絡(luò)界面
刷新證書后,重新打開與接收器的 HTTPS 連接,您將看到一個(gè)屏幕,上面寫著“您的連接不是私有的”。
瀏覽器在這里說 CA 無效,這是正確的,因?yàn)樗亲院灻C書。這里的危險(xiǎn)在于任何人都可以生成此類證書,并且不能保證我們連接到正確的站點(diǎn)。這就是為什么更安全的選擇是上傳 HTTPS (pem) 證書。
https://customersupport.septentrio.com/s/article/Introduction-to-HTTPS-and-the-use-of-certificates-in-Septentrio-receivers
電話: 025-85577685
地址:南京市江寧開發(fā)區(qū)誠(chéng)信大道990號(hào)優(yōu)尚天地3棟417室
企業(yè)微信