SSL 双向认证 自签 CA 导入证书以后 为什么浏览器还是提示不安全

自签发的 CA 根证书放入位置正确吗？ 受信任的根证书办法列表

@alect 对啊，就是那个

需要具体看下报错原因

可能是算法不安全

只有“提示不安全 （红字）”不足以说明具体情况

请告知具体内容，这样大家能帮助你分析。

我猜：

1. 证书没 SAN

2. 证书还是 sha1 这种已经被标记为不安全的算法。

证书是 SHA256 的 SAN 是啥？我现在怀疑是不是自签的都这样了

证书的位置对么？我记得按照 Streisand 里面的那个导入证书，是可用的（现在虽然已经不用它了），导入后好像还要勾选用途还是啥。

没有选用途，提示不安全无所谓，就是不知道现在加密有效没

加密有效没是看你网站那边的配置啊，其实不导入证书 IE 都是可以强行访问的，也是加密的。只是中间人攻击你没法发现而已。
我估计多半是证书生成的时候参数不大对

不导入证书没法访问，我开了双向认证。如果是加密的，那就算了，凑合用吧

哦 双认证我倒是没配置过。话说 Let's Encrypt 签名的证书，是不是不能作为客户端的证书？

@h4lbhg1G 没试过，我现在就是不想让无关系的人访问，关了 http，ssl 强制客户端使用自签证书

@h4lbhg1G le 是 DV 证书啊，客户端证书要 Email 证书之类的

@loginv2 找了下有这个 https://www.v2ex.com/t/318910 可以用 letsencrypt 的证书自己签名一个客户端证书。

其实这种情况我自己一般有两种方法，一个是服务挂在 127.0.0.100 这种 ip 上，然后 vpn，vpn 只能证书访问；另一个简单点用 letsencrypt 加密后直接加一个复杂点的 basic-auth 的密码。

@chinvo 这样啊，如果服务端的证书 le 签名了，客户端用自签名会有问题么？

@h4lbhg1G 客户端证书随意，只要你在服务器信任这个客户端证书就好。比如你可以生成一个 self-signed CA，用这个 CA 去给客户端签证书，你只需要在服务端设置信任这个 CA

@h4lbhg1G 你找到的这个 4 楼就有提到 https://www.v2ex.com/t/318910#r_3734258

@h4lbhg1G 客户端好像一般都是自签名？

证书链