1

Моя ситуация такова: в нашей корпоративной сети используется специальный вид SSL-сертификата, выданного самой компанией. Каждый раз, когда я открываю сайт через HTTPS в Firefox, отображается предупреждение с сообщением "sec_error_unknown_issuer". В деталях сертификата говорится, что этот конкретный сертификат был выдан моей компанией, там есть адрес компании, название и все. Это очень раздражает, потому что мне нужно добавлять исключение для недействительного сертификата каждый раз, когда я захожу на сайт с шифрованием SSL. Одним из возможных решений было бы отказаться от SSL и по возможности использовать простой http (в настоящее время нет разницы между SSL и no-SSL, если сетевые администраторы сами обрабатывают сертификаты), но некоторые сайты не работают без SSL, например как страницы входа в банк. Поэтому я думаю, что лучшей идеей было бы добавить сертификат в список доверенных лиц Firefox. Для этого мне нужно иметь авторитетный сертификат. Я попытался получить его с помощью следующей команды Openssl, но безрезультатно:

openssl s_client -connect имя хоста: порт

Он показывает один сертификат, но затем останавливается, потому что некоторые сертификаты не могут быть проверены, а сертификат неверен, потому что Firefox отображает ошибку, когда я пытаюсь импортировать его. Я не помню точное сообщение сейчас, но это было что-то вроде "этот сертификат не является действительным сертификатом органа".

Я также пытался использовать Wireshark, но не могу использовать слишком хорошо, и мне не удалось получить то, что я искал. И в крайнем случае, невозможно отключить проверку SSL-сертификатов в Firefox.

Итак, как я могу получить этот сертификат локального органа, который я могу импортировать в Firefox, и перестать раздражать сообщения об ошибках?

|источник

4 ответа4

0

Если вы не можете получить сертификат корпоративного веб-прокси, добавьте свой собственный локальный прокси (например, прокси Burp Suite) между браузером и корпоративным прокси и установите сертификат локального прокси в своем браузере. Настройте браузер на использование локального прокси-сервера (Параметры -> Дополнительно -> Сеть -> Параметры подключения). Затем браузер видит только сертификаты, выданные вашим локальным прокси-сервером, которому доверяют, и вы не видите ошибок в браузере.

|источник
0

Сегодня я сталкиваюсь с той же проблемой, и каждый раз, когда я пытаюсь подключить сайт, все продукты Mozilla запрашивают разрешение на добавление сертификата. И этот сертификат сертифицирует только указанный веб-сайт.

Чтобы добавить корпоративный сертификат в доверенные органы, перейдите в Панель управления -> Свойства обозревателя -> Содержимое -> Сертификаты -> Доверенные корневые центры сертификации.

И там появляется список. Найдите свой корпоративный сертификат и экспортируйте его в файл, используя настройки мастера по умолчанию.

После этого откройте Firefox, Настройки -> Дополнительно -> Просмотр сертификатов -> Полномочия -> Импорт

Выберите файл, который вы экспортировали, и проверьте все параметры доверия.

Теперь вы сможете подключить все сайты.

|источник
0

Если вы используете корпоративную сеть или доверяете эмитенту, вам необходимо импортировать данный сертификат в цепочку для ключей и сделать его доверенным для вашего SSL-соединения. Чтобы он работал для всех веб-адресов, он должен быть корневым центром сертификации.

В Chrome вы можете щелкнуть значок замка, затем вкладку «Соединение», чтобы увидеть информацию о сертификате, которая должна состоять из ссылки CRT в вашем корневом (верхнем) сертификате.

GitHub - Личность этого сайта не была подтверждена.Сертификат сервера не является доверенным.

После того, как вы скачали файл сертификата или с помощью следующей команды:

openssl s_client -connect example.com:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > foo.crt

откройте файл и в доверенных настройках сделайте его Trust.

В OS X вы можете дважды щелкнуть файл или перетащить его в свой брелок для доступа, чтобы он появился в логине/сертификатах. Затем дважды щелкните по импортированному сертифицированному и сделайте его Always Trust for SSL (как показано ниже).

Доступ через брелок, логин / сертификаты - Always Trust

Теперь все HTTPS/SSL-сайты должны работать нормально.

|источник
0

Добавьте опцию -showcerts чтобы s_client печатал всю цепочку.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .