关于浏览器信任证书的问题

2023-05-24 18:30:10 +08:00
 klo424

做了一个网站,要部署到客户内部局域网网络,页面和接口都是使用 https 协议的。

问题是用户首次打开网站的时候,会显示证书不受信任,并且要点击高级,再点击继续访问,才能打开页面。然而让每个用户都去点一遍实在影响用户体验,客户也不会认同。

现在想跳过点击高级再点击继续访问这一步骤,实现输入 ip 地址即可直接访问网站。

查了很久,貌似无法跳过这一步,自签证书就是不受信任的。

有什么办法可以解决吗?

1558 次点击
所在节点    问与答
30 条回复
id7368
2023-05-24 18:32:03 +08:00
做个证书让他们 it 批量添加到受信根证书里
virusdefender
2023-05-24 18:32:56 +08:00
无解,除非加根证书
klo424
2023-05-24 18:33:18 +08:00
@id7368 #1 具体是怎么搞?能展开讲讲吗?
RiverMud
2023-05-24 18:34:42 +08:00
引导客户装下证书呢?像 12306 那样。
klo424
2023-05-24 18:38:39 +08:00
@RiverMud #4 12306 有证书呀。刚试了一下也没引导啊?
miyuki
2023-05-24 18:50:12 +08:00
就是手动把证书加到系统的受信任证书列表
miyuki
2023-05-24 18:50:36 +08:00
最早 12306 网站就是搞了个所谓的自签名证书
serialt
2023-05-24 18:51:27 +08:00
chrome 走的是系统证书,firefox 走的是浏览器内置证书
klo424
2023-05-24 18:57:24 +08:00
@miyuki #6 那还是难办,比点击两下按钮要麻烦的多。
billlee
2023-05-24 19:10:27 +08:00
局域网也可以配置域名然后找 CA 签发真证书。
klo424
2023-05-24 19:17:26 +08:00
@billlee #10 可以在我网站同一台服务器上建一个 DNS 服务解析域名吗?
Nile20
2023-05-24 19:17:29 +08:00
找支持的 CA 申请一个基于 IP 地址的证书。印象中 ZeroSSL 有免费的,但是不确定是否可长期使用&有商业支持
mxT52CRuqR6o5
2023-05-24 19:20:41 +08:00
花钱注册个域名用域名买个有效期长点的证书,在内网部署时把网站配置成这个域名
klo424
2023-05-24 19:21:31 +08:00
@Nile20 #12 只能免费用 3 个月,相比点两下浏览器还是麻烦一下。
Nile20
2023-05-24 19:21:59 +08:00
不好意思没注意是局域网。局域网 IP 段我不确定能不能申请,恐怕很难。想到两种方法,一种可以申请一个普通的泛域名证书,在公司内的 DNS 将业务域名解析到内网 ip 地址。另外一种是生成自签名证书,让 IT 通过组策略推送给所有电脑
bobryjosin
2023-05-24 19:22:19 +08:00
通过 dns 申请域名证书,再把 dns 劫持到内网地址就可以实现 https 了,我就是这么干的。
klo424
2023-05-24 19:22:49 +08:00
@mxT52CRuqR6o5 #13 域名解析也得在内网,DNS 服务可以部署到同一台服务器解析域名吗?
mxT52CRuqR6o5
2023-05-24 19:24:46 +08:00
@klo424
只能说理论上这种内网系统应该有地方可以配置 dns 解析,具体实践的话就不清楚了
我提这个方案主要是因为域名证书比较容易获得
klo424
2023-05-24 19:24:56 +08:00
@bobryjosin #16 能展开讲讲么?具体怎么劫持?我真是不太懂这一块。
miyuki
2023-05-24 19:25:02 +08:00
@klo424

总结一下

1. 使用真的域名,正常申请到的真域名证书,然后 DNS 解析到局域网地址
2. 正常申请为 IP 签发的证书( OV ?),然后客户机直接 https://ip 地址
3. 使用自签证书( CA ),然后手动加到客户机系统信任证书列表
4. 使用自签证书( CA ),通过 IT 管理员(域)下发证书( CA )

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/942660

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX