AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1893307
Accepted
eje211
eje211
Asked: 2025-04-22 17:40:33 +0800 CST2025-04-22 17:40:33 +0800 CST 2025-04-22 17:40:33 +0800 CST

使我的证书颁发机构适用于内部网络

  • 772

我曾经在办公室工作过,在局域网上,你只需https://someservice在网页浏览器中输入类似的东西,就能直接访问。(如果我记错了,请告诉我。)

这看起来对我家来说会是一个既有趣又有挑战性、很有教育意义的项目。我知道我没必要这么做,但我真的想知道它是怎么运作的。

我最近在树莓派上安装了 OpenWrt,并将其用作路由器。它负责处理我的本地 DNS 等服务。我还希望 OpenWrt 服务器作为我的证书颁发机构。

我尝试了大量教程后,最终按照本教程site操作。现在,我拥有以下文件,其中一些位于我本地网络的 Web 服务器上,名为,另一些则以router证书颁发机构本身的名称命名,位于路由器上:

  • 该网站的私钥:site.key
  • 站点的证书签名请求:site.csr
  • 该网站的签名证书:site.crt
  • 证书颁发机构的私钥存储:router.key
  • 以及根证书:router.pem

还有一些用于创建上述文件的其他文件。

但我想知道的是:网站客户端计算机上的 nginx 服务器已设置为使用我为其生成的证书;我该如何让该证书与路由器进行校验,以验证(至少根据路由器的指示)该网站的真实性。我已将根证书添加到/etc/ssl/certs,并添加了匹配的哈希链接。根据教程中的测试,该证书已存在于路由器上。

我找不到任何教程提到网络上的一台计算机要求另一台计算机验证数据是否可信。同样,这样做的目的是告诉路由器该特定数据是可信的,这对于路由器后面的任何人来说都应该足够了。

如果可以的话,我缺少了哪一步?如果不可以,请告诉我。

home-networking
  • 1 1 个回答
  • 44 Views

1 个回答

  • Voted
  1. Best Answer
    grawity
    2025-04-22T20:21:30+08:002025-04-22T20:21:30+08:00

    我怎样才能通过路由器进行证书检查来验证(至少根据路由器)该网站是真实的

    证书并不能使网站“真实存在”。即使您使用https://someservice而不是普通的http://,仍然是DNS(而非证书)使someservice名称存在。

    最常见的方法是通过发布带有内部 DNS 域名的 DHCP 选项(对于单个后缀使用选项 15,对于多个后缀使用选项 119)来实现,这样当浏览器被告知连接到时,它实际上会在后台someservice进行 DNS 查找。someservice.example.com

    TCP 连接建立后,HTTPS(TLS)会使用证书验证所连接的服务器是否有权以该名称进行操作。当您的 CA 为主题名称“someservice”颁发证书时,即授权证书(也就是私钥)持有者以该名称进行操作。

    在此阶段不一定需要“与路由器进行检查”——路由器仅在颁发证书时参与,但证书有效的名称已经嵌入在证书本身中(更改它们将需要颁发新证书),并且根 CA 的签名由浏览器或 TLS 客户端独立验证。

    从技术上讲,客户端(浏览器)可以联系路由器来验证证书是否已被撤销,但您的内部 CA 很可能没有设置该证书,因此可以肯定地说根本没有发生任何“签到”。

    需要明确的是,证书颁发机构并非路由器的工作——它是一个完全独立的功能,在您的情况下,只是恰好在同一台机器上运行。通常情况下,CA 会托管在更安全的地方。

    其目的是告诉路由器这些特定数据是值得信赖的,这对于路由器后面的任何人来说都应该足够了。

    不支持这种做法。事实上,如果真的可以,那基本上就违背了 TLS 和证书的意义:它们的存在部分是为了防范网络攻击,所以如果主机盲目信任它们所连接的网络,那么攻破 TLS 就变得轻而易举,毫无意义。

    (出于同样的原因,浏览器希望在证书中找到的名称严格是 URL 中指定的名称,并且不受上述 DHCP 选项的自动后缀的影响。)

    唯一类似的情况是,企业网络中的 Active Directory 在所有机器上部署 CA,已经具有预先存在的信任关系:将机器“加入”域的手动操作(域名是手动输入的,而不是自动检测的)意味着从该域注册中央配置和管理,因此内部证书颁发机构经常作为其中的一部分发布。

    我将根证书添加到 /etc/ssl/certs,并附上匹配的哈希链接。

    /etc/ssl/certs 中的哈希链接特定于 OpenSSL。您应该始终遵循发行版自身的说明,例如,/usr/local/share/ca-certificates在 Debian/Ubuntu 中添加到 ,以便工具可以将根证书复制到 /etc/ssl/certs以及软件可能查找的任何其他位置(例如,工具可能会为 GnuTLS 重新生成单个“cert.pem”包)。

    根据教程中的测试,该证书存在于路由器上。

    仅当路由器本身充当 TLS 客户端时才相关。

    • 1

相关问题

  • 家中的多个 Web 服务器

  • 将 CCNA 实验室连接到家庭交换机以进行桌面访问

  • 千兆交换机上的 100mbps 速度

  • 是什么导致了我的宽带电缆连接上的数据包丢失?

  • 验证家庭网络 10Gbit 性能的简单方法

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Vickel Firefox 不再允许粘贴到 WhatsApp 网页中? 2023-08-18 05:04:35 +0800 CST
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve