星期一, 4月 24, 2017

Chrome 58對於HSTS強制要求憑證可靠度,替Pulse Secure申請免費憑證

在Chrome 58之前遇到自簽的SSL憑證時,會顯示網站不安全,按下進階則會出現以下畫面
記得去年Chrome明明信任系統內匯入的憑證,現在不知道為何就硬是不相信,Firefox也是如此。要匯入自訂憑證,在網址輸入 chrome://settings/certificates

Firefox可以在 偏好設定 > 進階 > 憑證 > 檢視憑證清單 直接匯入。

但是在Chrome 58遇到HSTS則會顯示這是HSTS網站(忘記截圖),就沒有『繼續前往』的選項。

我原本也懶得處理,請user改用Firefox加到例外網站,但是user堅決不同意呀!基本上,一般User教他自行匯入憑證比登天還難,所以我只好去SSL For Free申請安裝。申請細節就不提了,請自行Google。

問我為什麼不用Script?這是Pulse Secure的硬體裝置,目前還不支援Let's Encrypt,其實SSL For Free也是用Let's Encrypt,但是省掉我不少麻煩。

在Pulse Secure使用憑證,必須選擇自訂的CSR(Cerficate Signing Request),所以請在Pulse的管理介面選Configuration > Certificates > New CSR...


本篇貼文的重點在這張圖,Key Length預設是1024 bits,申請不會過,請選3072 bits。

SSL For Free申請時,選擇使用DNS驗證方式,再貼上自訂CSR,就可以下載憑證套用於Pulse Secure。

沒有留言: