HTTPS 代表安全超文本傳輸協(xié)議���,是一種用于保護兩個系統(tǒng)之間通信安全的協(xié)議。為了實現這一點�����,HTTP 請求是通過使用 SSL(安全套接字層)或 TLS(傳輸層安全)協(xié)議的加密鏈接發(fā)送的���。為了建立SSL/TLS隧道�,需要以證書的形式提供SSL通信密鑰。證書主要分為三種類型�;自簽名、內部證書頒發(fā)機構(以下簡稱 CA)簽名以及由瀏覽器信任鏈中的 CA 簽名的證書�。
自簽名證書是最容易獲得的��,但也是最不安全的����,因為無法確認我們正在直接與所需的服務器對話,因為任何人都可以生成證書并且無法進行驗證�。由內部證書頒發(fā)機構簽名的證書有一種機制來確認我們正在與正確的服務器進行通信。該機制就是證書�����,由內部證書頒發(fā)機構簽名��,該機構作為根證書頒發(fā)機構插入瀏覽器中����。這允許驗證該機構簽署的證書,以確保它來自可信來源�����。缺點是您需要在每個瀏覽器中導入根證書頒發(fā)機構,該機構將用于與接收者進行通信����。由信任鏈中的 CA 簽署的證書通常被認為是最安全的。這種方法的主要問題是需要為每個地址購買證書�����,并且服務器必須公開供 CA 確認其有效性和所有權����。另一個問題是它不適用于動態(tài) DNS 提供商,它們通常不支持第三方證書(可能可以從 dyndns 提供商處購買 dyndns 證書)���。
PEM認證文件
PEM 證書文件(級聯證書容器文件)包含整個證書鏈�����,包括公鑰��、私鑰和根證書���。它是 RFC 1421 至 1424 標準中定義的標準文件��。
Septentrio 接收器 Web 界面中的 HTTP/HTTPS
該界面位于接收器 Web 界面中的通信 > Web 服務器下�����。它提供了 HTTP/HTTPS 開關以及上傳 *.pem 證書文件的選項�。
可以在接收器運行時在 HTTP 和 HTTPS 之間進行切換�����,并且可以將是否啟用 HTTPS 保存為配置的一部分�。接收器的Web界面可以設置為HTTP+HTTPS���、僅HTTP或僅HTTPS模式����。對于僅限 HTTPS�,必須提供有效的證書。如果沒有可用的(CA 簽名的)證書�,則接收者會生成自簽名證書,從而使 HTTPS 選項成為默認選項��。
當接收方處于僅 HTTPS 模式時�,所有通過 HTTP 的連接都會被阻止�����。當接收方處于僅 HTTP 模式時�����,所有通信都將重定向到同一頁面的 HTTPS 版本���。HTTP 在端口 80 上運行,但 HTTPS 需要端口 443�。這些是不可配置的端口,但了解這一點對于防火墻設置和端口轉發(fā)非常有用��。
例如; 要使接收器通過 HTTP 從內部網絡訪問�,但限制其通過 HTTPS 在 Internet 上訪問,應選擇 HTTP+HTTPS��,并且應使用防火墻配置關閉接收器的 80 端口(同時保持 443 開放)���。
上傳證書
證書必須采用 pem 格式���,并在同一文件中定義私鑰。私鑰不應與第三方共享,因此無法檢索上傳的 pem 證書���。上傳的證書可以使用 Chrome 開發(fā)工具的“安全”選項卡進行檢查����。當上傳“安全”(非自簽名)pem 證書時���,瀏覽器將對其進行識別����。
刪除無效證書
要刪除無效證書��,必須發(fā)出“erst,hard,HTTPSCertificate”命令�����。這將導致接收方刪除證書����、重新啟動并生成新的自簽名證書�����。
例子
-
通過 HTTPS 連接到接收器(將 https:// 添加到 IP 地址)
-
刪除現有證書(通過管理 > 重置)
-
重新打開接收者的網絡界面
刷新證書后,重新打開與接收器的 HTTPS 連接���,您將看到一個屏幕�����,上面寫著“您的連接不是私有的”����。
瀏覽器在這里說 CA 無效���,這是正確的�����,因為它是自簽名證書�����。這里的危險在于任何人都可以生成此類證書�����,并且不能保證我們連接到正確的站點���。這就是為什么更安全的選擇是上傳 HTTPS (pem) 證書����。
https://customersupport.septentrio.com/s/article/Introduction-to-HTTPS-and-the-use-of-certificates-in-Septentrio-receivers
