难！难！难题求解[请做过SSL站点的DX帮忙解决]

vacuum

我做了一个SSL站点，一切顺利，只是客户端访问SSL站点时，总是报：“安全警报”\r\n\r\n安全警报内容：“该安全证书由您没有选定信任的公司颁发。可以查看证书以便确定您是否信任该验证机构。”\r\n\r\n当点“查看证书”，进入后，看到：“该CA根证书不受信任。要启用信任，请将该证书安装到受信任的根证书颁发机构存储”\r\n\r\n我的问题：\r\n我使用的是WIN2K自带的证书服务，免费的那种，不知各位在做SSL站点时，遇到过这问题吗？如何去掉这讨厌的警报呢？

gadazhb

必须在每个客户端安装相应的根证书，此根证书可以在签发证书的服务器上导出

vacuum

谢谢，\r\n我用SSL的目的只有2个：\r\n1用户提交的用户名，口令是加密传输到WEB SERVER上。\r\n2用户连接的WEB SERVER是真正他想连接的WEBSERVER，不会发生中间人攻击即可。\r\n不想让客户端也需要验证，因为让每个用户的浏览器都安装客户端自己的证书，感觉会使用户很麻烦，不知我的意思表达清楚没有，也不知道对安全有无损害。\r\n\r\n所以我没有为每个客户端申请自己的证书，但这个好象与我遇到的安全警报不是一回事，感觉安全警报想告诉我的是，我的证书颁发机构（用2K免费的证书服务，根CA，自己起的名字myCA）不在浏览器的信任列表中，我的myCA不可信，所以报警告，如果我选择“继续”，则可正常访问，但这个警报每次都跳出来，很讨厌！\r\n\r\n如何解决，能否具体点？\r\n\r\n谢谢！

omni

原因: 服务器上用的 Cert 是自己的 Root CA 签署的. \r\n将自己的 Root CA 发给客户去安装, 以后就不会有报警.

vacuum

新问题：\r\n在“忽略客户证书”的情况下，服务器返回的信息是否有可能被中间人截获？因为是SSL128位加密的，所以对他们有用吗？\r\n客户端没有自己的客户证书有什么不利吗？

omni

最初由 vacuum 发布新问题：在“忽略客户证书”的情况下，服务器返回的信息是否有可能被中间人截获？因为是SSL128位加密的，所以对他们有用吗？客户端没有自己的客户证书有什么不利吗？

没有明白你的问题: 客户端是指双向验证么?

gadazhb

客户端的证书是用来进行双向认证的，信息的加密是通过对称加密来实现的，只是在传输对称密钥时用到了非对称算法，故如果你是需要进行双向认证才需要使用客户端证书。

omni

最初由 vacuum 发布\r\n新问题：在“忽略客户证书”的情况下，服务器返回的信息是否有可能被中间人截获？因为是SSL128位加密的，所以对他们有用吗？\r\n客户端没有自己的客户证书有什么不利吗？

网络上传输数据总会被截获, 问题在于是否有可读性并如果被加密需要多长时间才可以破解, 如果破解需要的时间超过数据本身的时效, 加密就是成功的.\r\n根据你的情况, 你的服务器证书是自己 (RootCA) 签署的, 大概客户的证书也要用同一个 (RootCA) , 这样你要运行自己的CRL和Key Server. 在客户端如果一个用户有多台设备或多个人使用同一设备, Private Key 的安全保存就是问题, 或者可以用Smart Card 保存, 但每台设备都要有读卡器, 整体费用也要考虑. 如果不能从技术上确保客户端 Private Key 的安全, 双向验证的意义就不存在.\r\n验证客户端证书并不增加数据传输的安全, 因为只用于验证, 并不用于加密传输数据. 如果没有特殊需要, 只有用户验证服务器是必要的.\r\n\r\nm1.5c

vacuum

再次感谢！\r\n已确定采用“忽略客户验证”。\r\n\r\nSORRY，又有新问题：SQL SERVER如何做SSL加密？\r\n[我的环境：客户端都连到WEB SERVER上，只有WEB SERVER需要与SQL SERVER通讯]\r\n能否给出具体步骤？万分感谢！急！

omni

最初由 vacuum 发布\r\n[B]再次感谢！\r\n已确定采用“忽略客户验证”。\r\nSORRY，又有新问题：SQL SERVER如何做SSL加密？\r\n[我的环境：客户端都连到WEB SERVER上，只有WEB SERVER需要与SQL SERVER通讯]\r\n能否给出具体步骤？万分感谢！急！ [/B]

? platform of your SQL and Web server?