通過 SSL 加密的 HTTPS 連接訪問網(wǎng)站時(shí)，需要安裝并配置一個(gè)受信任的 CA根證書（Trusted CA Root Certificate）。平常訪問一些加密網(wǎng)站之所以不需要自己安裝證書，是因?yàn)橄到y(tǒng)或?yàn)g覽器已經(jīng)提前安裝了一些受信任機(jī)構(gòu)頒發(fā)的證書。但有些時(shí)候訪問一些組織或個(gè)人自己簽發(fā)證書的網(wǎng)站的時(shí)候，就會(huì)收到瀏覽器發(fā)出的警告。此時(shí)可以將該證書添加到“受信任的根證書頒發(fā)機(jī)構(gòu)”存儲(chǔ)區(qū)，然后就不會(huì)再收到安全提示了。

快捷閱讀目錄

前言
從Windows 自帶的瀏覽器 Internet Explorer 中導(dǎo)入
通過 Windows 證書管理器安裝
Chrome 中的錯(cuò)誤提示

1. 前言?

為什么要自己簽發(fā)安全證書（Self-signed CA）呢？因?yàn)橐恍┦苄湃螜C(jī)構(gòu)頒發(fā)的證書年費(fèi)通常不菲，而且有些時(shí)候公司或者組織內(nèi)部小范圍使用的話沒有信任問題，這時(shí)就可以自己簽發(fā)一個(gè)安全證書。

對(duì)于這種安全證書，能否被信任就需要用戶自己練就火眼金睛去識(shí)別了。比如我簽發(fā)的證書，我的朋友就多半認(rèn)為可以被信任，其他人不了解我的話就多半不信任。

在 VPS 上部署了 SSL 服務(wù)之后，因?yàn)樽C書（CA）是自己簽發(fā)的，通過 HTTPS 加密鏈接訪問網(wǎng)站的時(shí)候會(huì)提示證書不被信任之類的?？梢詫⒆C書添加到 Windows 證書管理器的“受信任的根證書”目錄中，以后 HTTPS 加密訪問自己的網(wǎng)站就不會(huì)再收到安全提示了。

警告：只有當(dāng)你確認(rèn)要安裝的安全證書是可以信任的情況下才能安裝，否則可能帶來嚴(yán)重的安全問題，甚至造成財(cái)產(chǎn)損失。下面將介紹如何安裝非授權(quán)機(jī)構(gòu)發(fā)行的安全證書為受信任的根證書。

因?yàn)榘踩C書管理機(jī)制不同，下面介紹中涉及到：

Internet Explorer9 —— 微軟系的都差不多，以下簡(jiǎn)稱 IE。
Chrome—— Chrome 版本變動(dòng)頻繁，下面以 21.0.1180.60版本為例，而且因?yàn)?Chrome 使用的就是 Windows 系統(tǒng)里的證書，沒有獨(dú)立的證書存儲(chǔ)單元，所以搞定 IE 也就搞定 Chrome 了。從 Chrome 中打開證書管理器的方法是，設(shè)置（Settings）——> 高級(jí)設(shè)置（Advanced Settings）——> HTTPS / SSL ——> 管理證書（Manage Certificates …）。
Firefox—— Firefox 現(xiàn)在版本升級(jí)也很快了，好在界面、功能和操作變化不是太大，下面舉例用的是 Firefox 15。Firefox 的安全證書管理是獨(dú)立的，請(qǐng)參考另一篇文章：將自簽發(fā)的 SSL 證書導(dǎo)入為Firefox 中的受信任根證書。

2. 從Windows 自帶的瀏覽器Internet Explorer 中導(dǎo)入?

使用 IE 通過 HTTPS 打開相應(yīng)網(wǎng)站，會(huì)收到如下圖所示的安全警告：

Internet Explorer 9 – 證書錯(cuò)誤：訪問過程中斷。提示說“此網(wǎng)站的安全證書有問題”。此時(shí)我們可以點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站(不推薦)”來繼續(xù)。

中文顯示的是：

此網(wǎng)站的安全證書有問題。
此網(wǎng)站出具的安全證書不是由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的。

安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站。

單擊此處關(guān)閉該網(wǎng)頁。
繼續(xù)瀏覽此網(wǎng)站(不推薦)。

詳細(xì)信息
如果通過單擊鏈接到達(dá)此頁面，請(qǐng)檢查地址欄中的網(wǎng)站以確保該地址是您希望到達(dá)的頁面。轉(zhuǎn)到如https://example.com等網(wǎng)站時(shí)，請(qǐng)嘗試將 “www” 添加到地址中，變?yōu)?code>https://www.example.com。有關(guān)詳細(xì)信息，請(qǐng)參閱 Internet Explorer 幫助中的“證書錯(cuò)誤”。

在出現(xiàn)上圖所示的證書錯(cuò)誤警告時(shí)，如果幸運(yùn)的話，可以在瀏覽器地址欄的最右邊看到紅色背景的文字“證書錯(cuò)誤”（Certificate Error），如下圖所示。

IE 地址欄紅色背景的“證書錯(cuò)誤”提示，單擊“查看證書”后可以直接安裝該證書

單擊這個(gè)錯(cuò)誤提示靠下位置的“查看證書（View certificates）”就可以看到該證書的詳情，并可以直接安裝該證書到 Windows 系統(tǒng)的證書管理器中。如下圖所示。

IE 查看證書詳情，單擊“安裝證書”按鈕即可開始安裝證書

因?yàn)槭亲约汉灠l(fā)的安全證書而不是經(jīng)過認(rèn)證的機(jī)構(gòu)簽發(fā)的，所以 Windows 無法自動(dòng)信任該證書：此 CA 根目錄證書不被信任。要啟用信任，請(qǐng)將該證書安裝到“受信任的根證書頒發(fā)機(jī)構(gòu)”存儲(chǔ)區(qū)。單擊“安裝證書”按鈕即可打開 Windows 證書導(dǎo)入向?qū)?，單擊?strong>下一步”即可開始安裝證書，如下圖所示。

證書導(dǎo)入向?qū)?/p>

然后系統(tǒng)會(huì)詢問該證書的存儲(chǔ)位置。因?yàn)槭俏唇?jīng)認(rèn)證的組織或個(gè)人自己簽發(fā)的證書，如果選擇讓 Windows “根據(jù)證書類型，自動(dòng)選擇證書存儲(chǔ)”的話，一般會(huì)給存儲(chǔ)到“中級(jí)證書頒發(fā)機(jī)構(gòu)”中。以后加密訪問該網(wǎng)站的時(shí)候還是會(huì)收到安全警告。

根據(jù)我們的需要 —— 以后打開自己的網(wǎng)站時(shí)候不會(huì)再發(fā)出安全警告，也就是本文的目的，而且又是自己簽發(fā)的證書，信任不成問題，咱就直接給添加到“受信任的根證書頒發(fā)機(jī)構(gòu)”存儲(chǔ)中。如下圖所示。

Windows 安裝安全證書：選擇證書存儲(chǔ)位置

點(diǎn)選“將所有的證書放入下列存儲(chǔ)(P)”，然后單擊“瀏覽(R)”，打開“選擇證書存儲(chǔ)”窗口來選擇。有些時(shí)候可能需要選擇“顯示物理存儲(chǔ)區(qū)(S)”，然后勾選“受信任的根證書頒發(fā)機(jī)構(gòu)”下面的“本地計(jì)算機(jī)（Local Computer）”來存儲(chǔ)。

選擇后單擊“確定”按鈕，然后“下一步”。此時(shí)可能會(huì)收到安全警告（如下圖），提示添加的是“根（root）”證書（信任級(jí)別最高）。下圖中所示證書就是水景一頁自己簽發(fā)的了。

確認(rèn)添加根證書

剩下的就是確認(rèn)幾次，任務(wù)完成！然后關(guān)閉瀏覽器重新打開，就可以試試效果了。

3. 通過 Windows 證書管理器安裝?

因?yàn)?Windows 和 IE 都是微軟自家的，管理的是同一個(gè)證書管理器。所以不管是從 Windows 系統(tǒng)的證書管理器中導(dǎo)入安裝證書，還是直接根據(jù) IE 的提示來安裝，效果都是一樣的。唯一不同的是，通過 Windows 證書管理器來安裝證書的話，需要先將安全證書（.crt 類型的那個(gè)文件）保存到本地磁盤。如果不能直接獲取該證書，請(qǐng)先看另一篇文章介紹的從 Firefox 證書管理器中導(dǎo)出安全證書一節(jié)吧。

在 Windows 7 中（via微軟），要查看或管理證書，必須以管理員身份進(jìn)行登錄，才能執(zhí)行這些步驟。可以使用“證書管理器”查看有關(guān)證書的詳細(xì)信息，修改、刪除這些證書，或者申請(qǐng)新證書。要打開證書管理器：

通過單擊“開始”按鈕，在“搜索”框中鍵入 certmgr.msc，然后按 Enter，打開“證書管理器”。? 如果系統(tǒng)提示輸入管理員密碼或進(jìn)行確認(rèn)，則需要鍵入密碼或提供確認(rèn)。

windows 7 證書管理器（certificates manager）

先展開左邊欄里的“受信任的根證書頒發(fā)機(jī)構(gòu)”，選中其下的“證書”，然后點(diǎn)擊菜單欄的“操作”——>“所有任務(wù)”——>“導(dǎo)入”，即可打開證書導(dǎo)入向?qū)?/strong>。然后就可以接著前面的“證書導(dǎo)入向?qū)А蹦欠鶊D（快速跳轉(zhuǎn)）開始往下操作了。