跳到主要內容

Chrome 58對於HSTS強制要求憑證可靠度,替Pulse Secure申請免費憑證

在Chrome 58之前遇到自簽的SSL憑證時,會顯示網站不安全,按下進階則會出現以下畫面
記得去年Chrome明明信任系統內匯入的憑證,現在不知道為何就硬是不相信,Firefox也是如此。要匯入自訂憑證,在網址輸入 chrome://settings/certificates

Firefox可以在 偏好設定 > 進階 > 憑證 > 檢視憑證清單 直接匯入。

但是在Chrome 58遇到HSTS則會顯示這是HSTS網站(忘記截圖),就沒有『繼續前往』的選項。

我原本也懶得處理,請user改用Firefox加到例外網站,但是user堅決不同意呀!基本上,一般User教他自行匯入憑證比登天還難,所以我只好去SSL For Free申請安裝。申請細節就不提了,請自行Google。

問我為什麼不用Script?這是Pulse Secure的硬體裝置,目前還不支援Let's Encrypt,其實SSL For Free也是用Let's Encrypt,但是省掉我不少麻煩。

在Pulse Secure使用憑證,必須選擇自訂的CSR(Cerficate Signing Request),所以請在Pulse的管理介面選Configuration > Certificates > New CSR...


本篇貼文的重點在這張圖,Key Length預設是1024 bits,申請不會過,請選3072 bits。

SSL For Free申請時,選擇使用DNS驗證方式,再貼上自訂CSR,就可以下載憑證套用於Pulse Secure。

留言

這個網誌中的熱門文章

自然人憑證讀卡機驅動程式

鳥毅用的是第一代的自然人憑證讀卡機,EZ100PU(後來有同事買EZmini可以讀SIM卡似乎更好),每年報稅時用一次。 本來只是要申請些政府業務,一時之間找不到光碟,沒想到在 驅動程式下載 居然看到Linux和Mac的驅動程式,剩下的就是政府單位的網頁和程式應該改版了吧!!!

在Windows Server設定L2TP over IPSec VPN

簡單地說,macOS Sierra與iOS 10發表後,大家忽然發現Apple不再支援PPTP,所以一定得設定其他的VPN型態。若不要另外裝client,用L2TP是最方便的,SSL VPN雖然好,但若沒有安裝Agent要連線到任一電腦或是非網頁服務還是挺麻煩的。