问题标签 [self-signed]

我有一个使用自签名证书在 IIS 7 中运行的 WCF Web 服务（这是一个概念证明，以确保这是我想要走的路线）。需要使用 SSL。

是否可以使用 WCF 测试客户端来调试此服务而无需非自签名证书？

当我尝试时，我收到此错误：

错误：无法从 https:///Service1.svc 获取元数据 如果这是您有权访问的 Windows (R) Communication Foundation 服务，请检查您是否已在指定地址启用元数据发布。有关启用元数据发布的帮助，请参阅位于 http://go.microsoft.com/fwlink/?LinkId=65455.WS-Metadata的 MSDN 文档 Exchange 错误 URI：https:///Service1.svc 元数据包含无法解析的引用：“https:///Service1.svc”。无法为具有权限 '' 的 SSL/TLS 安全通道建立信任关系。基础连接已关闭：无法为 SSL/TLS 安全通道建立信任关系。根据验证程序，远程证书无效。HTTP GET 错误 URI：https:///Service1.svc 下载“https:///Service1.svc”时出错。基础连接已关闭：无法为 SSL/TLS 安全通道建立信任关系。根据验证程序，远程证书无效。

编辑：这个问题专门关于使用WCF 测试客户端来测试已经使用自签名证书通过 SSL 保护的 Web 服务。服务器已经设置为接受提供的任何证书，它是 WCF 测试客户端，我看不到这样做的方法。

我制作了一个 Silverlight 3.0 应用程序，它通过 https 与 xml rpc 服务器通信。整个应用程序将在 LAN 环境中运行，服务器可以安装在不同的机器上，客户端可以安装在同一台机器上。我正在使用针对服务器 ip 生成的自签名证书，我需要输入受信任的根证书颁发机构在客户端机器上。但是如果我想与第二台服务器通信，则需要在客户端计算机上针对该特定服务器的 ip 安装另一个证书，简而言之，如果我想与 n 个不同的服务器通信，我需要在客户端上安装 n 个证书，这对我来说是不可能的，我怎样才能通过局域网环境使用单个证书来做到这一点。证书是根据服务器的 ip 或主机名生成的，有没有办法绕过 SSL 证书的验证？喜欢

但是上面的代码不能在 Silverlight 中使用？有什么帮助吗？

我安装了 hmailserver 5.3.2 并进行了配置。它正常接收和发送电子邮件，但我想用它从位于另一台服务器的 .net/C# 应用程序发送电子邮件，为此我想使用 SSL 通信。之前，该应用程序被配置为通过 gmail 在端口 587 上发送电子邮件，它工作正常，但现在我们想使用我们自己的邮件服务器。我们首先将应用程序配置为连接到端口 25 上的 smtp.domain.com 并且可以正常工作，它会发送电子邮件。

然后我们创建了一个自签名证书来测试我们是否可以通过安全通道发送消息。我创建了带有 openSSL 设置通用名称的证书：mail.domain.com、smtp.domain.com、*.domain.com、域名.com。我在防火墙上打开了端口 587，并将 hmailserver 配置为在该端口上使用证书进行入站连接。我创建的证书都不起作用（我尝试了一个，然后创建了另一个，依此类推），在应用程序中生成以下（通用）异常：

当然，我也尝试通过 telnet 连接：telnet smtp.domain.com 587，但我只是得到一个空白屏幕。这不是防火墙问题，因为当我禁用端口 587 上的 ssl 时，我可以正常连接。在使用 587 和 SSL 时，查看日志甚至没有显示尝试连接。

我已经检查了这些问题：Getting SmtpClient to work with a self signed SSL certificate和Using a self-signed certificate with .NET's HttpWebRequest/Response，但它并没有解决我的问题。ServerCertificateValidationCallback的方法没有任何影响。

我尝试使用端口 25（这也在上述问题之一中提出）、465、587，并且所有 3 个端口都发生了相同的情况：初始握手（SYN / SYN-ACK / ACK），大约 80 秒后连接是关闭（FIN），中间没有。

我是否必须在某处安装该证书以便.net 应用程序将其视为受信任的？我的意思是，我已经将它安装为受信任的根证书颁发机构，并且可以通过运行 mmc 进行检查，所以我现在不知道该去哪里......

谢谢您的帮助！

PS：不确定这是否属于 ServerFault，因为它涉及 C# 应用程序，但也涉及邮件服务器......

编辑：代码示例：

编辑 2：日志（基于 Ramunas 的建议）：

下面代码的 perl 中创建自签名证书的等效示例是什么？

我所有可用的是 Crypt::OpenSSL::RSA （如果有另一个模块，请告诉我，以便我可以验证它是否可用或可以安装，因为我不是管理员/所有者并且由于权利问题而不能自己做）我还没有在有关如何实现此类的文档中找到...如果可能的话，我确实想避免使用命令行命令，但如果这是创建此命令的最后手段...

我正在尝试构建一个使用 SSLSocket 交换数据的简单客户端/服务器系统。(JavaSE 6) 服务器必须有自己的证书，客户端不需要。

我从这个 http://java.sun.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore开始 为服务器生成密钥和自签名证书。把它们加起来：

然后在我的服务器代码中

我基本上遗漏了一些要点，因为我收到“javax.net.ssl.SSLException：没有可用的证书或密钥对应于已启用的 SSL 密码套件”。当我尝试运行服务器时。

会不会是证书有问题？在 keytool 中使用 -validity 时，证书是自签名的，所以如果我没记错的话它应该可以工作。

阅读文档似乎设置属性“javax.net.ssl.keyStore”足以让 SSLContext 正确设置。有什么建议吗？

我一直在努力使用 WCF 一段时间，但我似乎无法弄清楚。我有一个启用 SSL 的自托管 WCF 服务（使用来自自签名根 CA 的签名证书），到目前为止一切顺利。该服务用于企业对企业的通信，因此证书似乎是最佳解决方案。

（我目前正在使用 WS 绑定，但这只是出于开发目的，因为所有绑定方法都支持（据我所知）客户端证书的传输级安全性。）

服务的一些相关配置位：

当我让客户端使用运行 WCF 服务的用户的“受信任的人”存储中的自签名证书时，它会失败。当我使用由我自己的根 CA 签名的证书时，即使它不在“受信任的人”存储中，它也可以工作。

我期待我能够使用自签名证书，将它们存储在“受信任的人”存储中，并且一切正常。但似乎有一些额外的验证正在进行，我错过了什么吗？有没有更好的办法？

我有一些必须使用自签名证书的 SSL 访问的资源。一般来说，大多数工具都有一个简单的设置，允许在没有错误或只是警告的情况下访问这些工具。但是，使用 JVM 执行此操作的正确方法似乎是将签名证书作为 CA 导入密钥库。

我有一个我想使用的 groovy 脚本，但我希望我的脚本能够在任何 JVM 上独立工作，而无需修改密钥库或分发新的密钥库。有没有一种简单的方法来覆盖认证验证？

我一直在努力解决 SSL 问题超过 1 个月。

我们使用 openssl 生成我们自己的 CA、服务器和客户端证书。我们还在 Apache Web 服务器上启用了“SSLrequire”（在 htaccess 中这可能是错误的），这意味着任何尝试通过服务器上的 https 连接的人都需要出示有效的证书

步骤如下；

• 生成 CA 密钥
• 生成 CA CSR
• 使用 CA 密钥签署 CA CSR

所以我们有自己的 CA，用于签署我们的服务器和客户端证书。

下一步

• 生成服务器密钥
• 生成服务器 CSR
• 使用 CA 密钥签署服务器 CSR

所以我们有我们在服务器上成功安装的服务器证书和服务器私钥

接下来我们

• 生成客户端密钥
• 生成客户 CSR
• 使用 CA 密钥签署客户端 CSR

然后，我们将客户端证书与 CA 证书一起分发给我们的用户。两者都安装在他们的浏览器中。

尝试连接时，我们收到“对等方无法识别和信任颁发您的证书的 CA。”错误。

我们发现问题在于服务器上未安装自签名 CA 证书。通常，服务器将向尝试连接它的设备提供受信任的 CA 列表，并且设备必须发送已由服务器提供的任何 CA 签名的证书。但是由于我们的自签名 CA 证书没有安装在服务器上，浏览器可以提供一个服务器可以接受的证书。

所以我们继续在服务器上安装 CA 证书 - 控制面板 Hsphere。

我们获取了 ca 证书的内容并将其复制到服务器上的“证书颁发机构文件”文本区域中，每次抱怨“无法更新 SSL 配置不同的密钥和证书”时，服务器都不会接受它

CA证书是自己签名的，服务器怎么能说证书和密钥不同。

我们还尝试将 CA 证书文件和 CA 密钥文件的内容复制到“证书颁发机构文件”文本区域中，但这也行不通。

正如我所说，我们已经为此苦苦挣扎了一个多月。如果有人可以提供帮助，那将不胜感激。如果我们必须为服务付费，请告知我们。

提前致谢。

我想使用 Adob​​e AIR 开发应用程序。但我必须使用代码签名证书对其进行签名。我不想购买代码签名证书。如果我使用自签名证书分发我的应用程序可以吗？

我们计划在我们的主要应用程序域上使用来自 GoDaddy 的 SSL 证书。但是，我们提供来自第二个域的图像、css 和 javascript 文件。如果我们为提供图像等的域使用自签名证书，它会在不向用户发出有关自签名证书的警告消息的情况下工作吗？

提前感谢您的任何回复。顺便说一句，请不要问我们为什么不同时获得两者的证书。这个问题有点复杂，但我只是为了提出这个问题而对其进行了简化。谢谢你。