創建證書

『壹』 一個開發者賬號能創建多少個開發證書

可以創建出好多來，但是只有一個起作用。如果要換設備上架的話，就在之前創建這個發布證書的電腦上，添加到鑰匙串，再導出.P12文件。如果哪個是最初創建的，就全部刪了，重新創建

『貳』 如何使用OpenSSL創建證書

（1）Openssl生成公私鑰
使用Openssl是為了生成公鑰和私鑰對，用於外部商戶系統和xxx系統之間報文的安全性驗證。如果使用者不需要生成公私鑰，而是直接對報文進行處理，則參考第四部分，計算摘要及簽名值。
1. 安裝openssl步驟直接點擊exe文件。出現需要安裝vs2008插件的，直接忽略。

2. 在安裝過程中找到OpenSSL相應的安裝目錄，進入bin目錄下找到openssl.exe可執行文件，點擊運行。然後分別按順序輸入如下命令：
a. genrsa –out private-rsa.key 1024
說明:該命令是生成一個沒有加密的私鑰
genrsa 生成私鑰文件，私鑰存儲在private-rsa.key中，長度為1024。out後面指定輸出文件名。
private-rsa.key 為生成的私鑰文件，但該文件必須經過處理得到私鑰。

b. req –new –x509 –key private-rsa.key –days 750 –outpublic-rsa.cer
說明：根據private-rsa.key生成證書public-rsa.cer
-new 表示新的請求
-509 表示輸出的證書結構
750表示證書有效天數
-out public-rsa.cer -out後面表示公鑰證書，用於驗證數字簽名，此公鑰證書或者公鑰需要提前發送給需要驗證本單位或部門數據的接收方。

c. pkcs12 –export –name test-alias –in public-rsa.cer–inkey private-rsa.key –out 99bill-rsa.pfx
說明：生成PKCS12 格式Keystore
密碼前後輸入要一致，這個密碼在用Keystore生成公私鑰過程中會用到。
Public-rsa.cer, private-rsa.key是之前生成的。

附1：
下述代碼是從99bill-rsa.pfx中獲取私鑰的Java版本代碼。因為private-rsa.key中生成的私鑰無法直接使用，必須進行一定的處理。
代碼有幾個注意點：
文件流初始化路徑需要根據自己的實際路徑來填寫。
密碼是在第二節中c步驟中的密碼，本實例輸入的是suning。
KeyStorekeyStore = KeyStore.getInstance("PKCS12");
= newFileInputStream("D:/OpenSSL/bin/99bill-rsa.pfx");
char[]nPassword = "suning".toCharArray();
StringkeyAlias = null;
keyStore.load(fileInputStream,nPassword);
fileInputStream.close();
System.out.println("keystoretype=" + keyStore.getType());
Enumeration<String>enumeration = keyStore.aliases();
if(enumeration.hasMoreElements())
{
keyAlias = (String) enumeration.nextElement();
System.out.println("alias=[" + keyAlias +"]");
}
System.out.println("iskey entry=" + keyStore.isKeyEntry(keyAlias));
PrivateKeyprikey = (PrivateKey) keyStore.getKey(keyAlias, nPassword);
//私鑰轉成字元串
StringprivateStr = Base64.encodeBase64String(prikey.getEncoded()).trim();
//生成公鑰字元串，還可以通過cer證書生成
Certificatecert = keyStore.getCertificate(keyAlias);
PublicKeypubkey = cert.getPublicKey();
StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim();
注意：
1. 所用類的說明：
Base64:
import org.apache.commons.net.util.Base64;
Certificate:
import java.security.cert.Certificate;
2. 在openssl生成公私鑰過程中，用戶輸入了密碼。本例中密碼為suning。

1. 摘要及生成方法
摘要的生成過程(digest方法全部實現了下述3個過程)：
1. 根據key對傳來的map數據排序；
2. 生成a1=b1&a2=b2&a3=b3形式的字元串，排除某些字元串Key值；
3. 調用digest方法進行md5編碼；
以上三步均通過Digest.digest()方法實現：
String digest = Digest.digest(Map<String,String> map, String... keys);
傳遞的http報文體body內容如a1=b1&a2=b2&a3=b3形式的字元串，提取出需要加簽的字元串並轉成map形式。execludeKes是要排除的欄位，是一個字元串數組。
計算摘要這一步很關鍵，因為選取的欄位要求發送方和接收方必須一致，即發送方對哪些欄位計算摘要，那麼同樣地接收方也必須對相同的欄位計算摘要，否則會報6601的錯誤。
說明：a. Map是存儲了計算摘要的欄位
b. keys表示排除的欄位，不能用於計算摘要的欄位，如signature,signAlgorithm
2. 公鑰證書及字元串轉換方法
轉換的目的：便於存儲。(商戶直接提供公鑰證書也可以，但是對於向驗簽系統提供公鑰字元串的商戶，需要用下述代碼把公鑰轉成字元串)
1. 公鑰/私鑰字元串轉成公鑰/私鑰，主要是把字元串轉成公鑰PublicKey
X509EncodedKeySpec pubKeySpec = newX509EncodedKeySpec(Base64.decodeBase64(strPubKey));
KeyFactorykeyFactory = KeyFactory.getInstance(RSA);
PublicKeypubKey = keyFactory.generatePublic(pubKeySpec);
2. 公鑰或私鑰轉成Base64字元串：
StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim();
3. 公私鑰驗證方法
驗證目的：公私鑰生成之後，需要驗證是否匹配。(之前許多商戶生成公私鑰混亂，無法確定公私鑰是否匹配就添加到驗簽系統中)。此代碼由用戶自己用junit驗證運行。驗證公私鑰生成是否正確，如果result為true，則說明公私鑰生成正確；否則生成的公私鑰有問題，不能使用。
String prik1 ="";
String pubb ="";
String data ="wkk";
String digest =Digest.digest(data);
PrivateKey privateKey =RSAUtil.getPrivateKey(prik1);
String sign =RSAUtil.sign(digest, privateKey);
boolean result =RSAUtil.vertiy(digest, sign,
RSAUtil.getPublicKey(pubb));
System.out.println(result);

『叄』 如何使用OpenSSL創建證書

Step 1. Create key (password protected)

openssl genrsa -out prvtkey.pem 1024/2038 (with out password protected)

openssl genrsa -des3 -out prvtkey.pem 1024/2048 (password protected)

這個命令會生成一個1024/2048位的密鑰。
Step 2. Create certification request

openssl req -new -key prvtkey.pem -out cert.csr

openssl req -new -nodes -key prvtkey.pem -out cert.csr

這個命令將會生成一個證書請求，當然，用到了前面生成的密鑰prvtkey.pem文件
這里將生成一個新的文件cert.csr，即一個證書請求文件，你可以拿著這個文件去數字證書頒發機構（即CA）申請一個數字證書。CA會給你一個新的文件cacert.pem，那才是你的數字證書。

Step 3: Send certificate request to Certification Authority (CA)

如果是自己做測試，那麼證書的申請機構和頒發機構都是自己。就可以用下面這個命令來生成證書：
openssl req -new -x509 -key prvtkey.pem -out cacert.pem -days 1095
這個命令將用上面生成的密鑰privkey.pem生成一個數字證書cacert.pem

cacert.pem 生成過程見「OpenSSL建立自己的CA」

有了privkey.pem和cacert.pem文件後就可以在自己的程序中使用了，比如做一個加密通訊的伺服器

-------------
OpenSSL建立自己的CA

(1) 環境准備

首先，需要准備一個目錄放置CA文件，包括頒發的證書和CRL(Certificate Revoke List)。
這里我們選擇目錄 /var/MyCA。

然後我們在/var/MyCA下建立兩個目錄，certs用來保存我們的CA頒發的所有的證書的副本；private用來保存CA證書的私鑰匙。

除了生成鑰匙，在我們的CA體系中還需要創建三個文件。第一個文件用來跟蹤最後一次頒發的證書的序列號，我們把它命名為serial，初始化為01。第二個文件是一個排序資料庫，用來跟蹤已經頒發的證書。我們把它命名為index.txt，文件內容為空。

$ mkdir /var/MyCA
$ cd /var/MyCA
$ mkdir certs private
$ chmod g-rwx,o-rwx private
$ echo "01" > serial
$ touch index.txt

第三個文件是OpenSSL的配置文件，創建起來要棘手點。示例如下：

$ touch openssl.cnf

文件內容如下：

[ ca ]
default_ca = myca

[ myca ]
dir = /var/MyCA
certificate = $dir/cacert.pem
database = $dir/index.txt
new_certs_dir = $dir/certs
private_key = $dir/private/cakey.pem
serial = $dir/serial

default_crl_days= 7
default_days = 365
default_md = md5

policy = myca_policy
x509_extensions = certificate_extensions

[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName= supplied
organizationalUnitName = optional

[ certificate_extensions ]
basicConstraints= CA:false

我們需要告訴OpenSSL配置文件的路徑，有兩種方法可以達成目的：通過config命令選項；通過環境變數OPENSSL_CONF。這里我們選擇環境變數的方式。

$ OPENSSL_CONF=/var/MyCA/openssl.cnf"
$ export OPENSSL_CONF

(2) 生成根證書 (Root Certificate)

我們需要一個證書來為自己頒發的證書簽名，這個證書可從其他CA獲取，或者是自簽名的根證書。這里我們生成一個自簽名的根證書。

首先我們需要往配置文件裡面添加一些信息，如下所示，節名和命令行工具的命令req一樣。我們把所有必要的信息都寫進配置，而不是在命令行輸入，這是唯一指定X.509v3擴展的方式，也能讓我們對如何創建根證書有個清晰的把握。

[ req ]
default_bits = 2048
default_keyfile = /var/MyCA/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = root_ca_distinguished_name
x509_extensions = root_ca_extensions
[ root_ca_distinguished_name ]
commonName = My Test CA
stateOrProvinceName = HZ
countryName = CN
emailAddress = [email protected]
organizationName = Root Certification Authority
[ root_ca_extensions ]
basicConstraints = CA:true

萬事俱備，我們可以生成根證書了。注意設置好環境變數OPENSSL_CONF。

$ openssl req -x509 -newkey rsa -out cacert.pem -outform PEM -days 356

註：「-days 356「控制有效期限為365天，默認為30天。

驗證一下我們生成的文件。

$ openssl x509 -in cacert.pem -text -noout

(3) 給客戶頒發證書

在給客戶頒發證書之前，需要客戶提供證書的基本信息。我們另外開啟一個終端窗口，使用默認的OpenSSL配置文件(不要讓之前的OPENSSL_CONF干擾我們，那個配置是專門用來生成根證書的)。

命令和我們生成根證書的類似，都是req，不過需要提供一些額外的信息。如下：

$ openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM

有兩次提示要口令，第一次的口令用來加密私鑰匙testkey.pem，第二次口令一般被OpenSSL忽略。
結果生成兩個文件：testkey.pem，私鑰匙；testreq.pem，請求信息，其中包括公鑰匙。

我們來看看testreq.pem都有哪些信息？

$ openssl req -in testreq.pem -text -noout

現在，我們可以把testreq.pem提交給我們的CA生成證書了。
為了方便起見，我們假定testreq.pem在//var/MyCA/private/中。

$ openssl ca -in testreq.pem

有三次提示，一次是問你CA的私鑰匙密碼，兩次是確認，輸出的結果就是為客戶頒發的證書。
可以通過batch選項取消命令提示，可通過notext選項取消證書的輸出顯示。
此外，還可以一次給多個客戶頒發證書，方法是用 infiles選項替換in選項，不過這個選項必須放在最後，因為此後的任何字元均被處理為文件名稱列表。

生成的證書放在certs目錄，同時index.txt和serial的內容都發生了改變。

『肆』 如何創建一個自簽名的SSL證書

自簽名SSL證書存在很大的安全隱患和風險，不建議大家安裝。具體風險如下：
第一、被「有心者」利用
其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發，那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性，分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上，讓訪客們分不清孰真孰假。
第二、瀏覽器會彈出警告，易遭受攻擊
前面有提到自簽名SSL證書是不受瀏覽器信任的，即使網站安裝了自簽名SSL證書，當用戶訪問時瀏覽器還是會持續彈出警告，讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的，所以CA是無法識別簽名者並且不會信任它，因此私鑰也形同虛設，網站的安全性會大大降低，從而給攻擊者可乘之機。
第三、安裝容易，吊銷難
自簽名SSL證書是沒有可訪問的吊銷列表的，所以它不具備讓瀏覽器實時查驗證書的狀態，一旦證書丟失或者被盜而無法吊銷，就很有可能被用於非法用途從而讓用戶蒙受損失。同時，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的警告，不僅降低了網頁的瀏覽速度，還大大降低了訪問者對網站的信任度。
第四、超長有效期，時間越長越容易被破解
自簽名SSL證書的有效期特別長，短則幾年，長則幾十年，想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年，因為時間越長，就越有可能被黑客破解。所以超長有效期是它的一個弊端。

『伍』 certificate怎麼創建

創建X509證書方法較多，在Windows 環境下大致總結了幾中辦法， 1) 通過CA獲取證書， 2) 通過微軟提供的makecert 工具得到測試證書 3) 編程的方法創建，.Net提供了 X509Certificate2 類，該類可以用於創建證書，但只能從RawData中創建，創建後無法修改除FriendlyName以外的任何屬性。 我在互聯網上找了很久，始終沒有找到完全通過程序創建自定義的證書的方法。後來想了一個折中辦法，就是用程序調用 makecert.exe 先生成一個證書，證書的一些參數如Subject，有效期，序列號等可以通過參數傳入，然後把生成的證書文件讀到Rawdata中，得到X509Certificate2 類型的證書對象。當然這種方法確實比較笨，必須要依賴外部進程。等後面有時間的話，我還是想按照X509 V3 標准，自己創建RawData，然後生成證書，這樣應該是比較靈活的做法。不知道網友們有沒有什麼更好的方法來創建一個自定義的證書。 通過 makecert.exe 創建X509證書的代碼如下，供大家參考 static object semObj = new object(); /// <summary> /// 自定義的證書信息 /// </summary> public class T_CertInfo { public String FriendlyName; public String Subject; public DateTime BeginDate; public DateTime EndDate; public int SerialNumber; } /// <summary> /// 生成X509證書 /// </summary> /// <param name="makecrtPath">makecert進程的目錄</param> /// <param name="crtPath">證書文件臨時目錄</param> /// <param name="certInfo">證書信息</param> /// <returns></returns> public static X509Certificate2 CreateCertificate(String makecrtPath, String crtPath, T_CertInfo certInfo) { Debug.Assert(certInfo != null); Debug.Assert(certInfo.Subject != null); string MakeCert = makecrtPath + "makecert.exe"; string fileName = crtPath + "cer"; string userName = Guid.NewGuid().ToString(); StringBuilder arguments = new StringBuilder(); arguments.AppendFormat("-r -n \"{0}\" -ss my -sr currentuser -sky exchange ", certInfo.Subject); if (certInfo.SerialNumber > 0) { arguments.AppendFormat("-# {0} ", certInfo.SerialNumber); } arguments.AppendFormat("-b {0} ", certInfo.BeginDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("-e {0} ", certInfo.EndDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("\"{0}\"", fileName);

『陸』 怎麼在Windows server 2008r2 虛擬機上創建域證書

點擊「開始」菜單→選擇「遠程桌面連接」；
↓
輸入域址→點擊「連接」，輸入管理員賬號密碼，進入遠程桌面。

點擊遠程桌面「開始」菜單；
↓
打開「Active Directory 域和信任關系」軟體，選中域址→右鍵 「管理」。

進入「Active Directory 用戶和計算機」窗口，選中「office」，單擊右鍵→選擇「新建」→選擇「用戶」；

進入「新建對象 – 用戶」窗口，在對應的輸入框中，輸入「姓」和「名」，用戶登錄名為：中文名全拼（姓名兩個字）或姓全拼加名的首字母（姓名三個字及以上，如：周一一，用戶登錄名為：zhouyy）；
↓
單擊「下一步」，如果用戶已存在，會彈出提示框；可在名字後面加數字區分。

單擊「下一步」，進入設置用戶密碼，按需選擇復選框，原則上都不選定→單擊「下一步」→單擊「完成」。

將用戶加入相應組：選中需添加進許可權組的用戶→單擊右鍵→選擇「屬性」；
↓
進入「用戶 屬性」窗口→選擇「隸屬於」選項→單擊「添加」。

進入「選擇組」窗口，在「輸入對象名稱來選擇」輸入框中輸入需添加的組名→單擊「檢查名稱」；
↓
單擊「確定」，回到「全體用戶 屬性」窗口，單擊「應用」→單擊「確定」；
↓
設置完成。

『柒』 如何創建一個自簽名的SSL證書

使用openSSL生成自簽名CA和自簽名證書：網頁鏈接

自簽名SSL證書安全隱患及安全風險：網頁鏈接

『捌』 win10如何安裝和創建 證書

具體方法如下:
1、點擊WIN10左下角的開始選項，選擇所有程序。
2、找到WINDOWS系統，點開找到控制面板。

3、打開控制面板，找到裡面的【憑據管理器】。

4、打開憑據管理器，找到【WINDOWS憑據】。

5、然後點擊【添加基於證書的憑據】，進入憑據添加頁面。

6、進入添加證書界面後，紅框處給出了提示。

『玖』 openssl怎樣創建個人證書

一：生成CA證書
目前不使用第三方權威機構的CA來認證，自己充當CA的角色。
網上下載一個openssl軟體
1. 創建私鑰 ：
C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024
2.創建證書請求 ：
C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:root
Email Address []:sky
3.自簽署證書 ：
C:/OpenSSL/bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
4.將證書導出成瀏覽器支持的.p12格式 ： (不需要可以省略)
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
密碼：changeit
二.生成server證書。
1.創建私鑰 ：
C:/OpenSSL/bin>openssl genrsa -out server/server-key.pem 1024
2.創建證書請求 ：
C:/OpenSSL/bin>openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:192.168.1.246 注釋：一定要寫伺服器所在的ip地址
Email Address []:sky
3.自簽署證書 ：
C:/OpenSSL/bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 ：
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
密碼：changeit
三.生成client證書。
1.創建私鑰 ：
C:/OpenSSL/bin>openssl genrsa -out client/client-key.pem 1024
2009-7-17 22:32 回復
yakeqin
1位粉絲
2樓
2.創建證書請求 ：
C:/OpenSSL/bin>openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:sky
Email Address []:sky 注釋：就是登入中心的用戶（本來用戶名應該是Common Name，但是中山公安的不知道為什麼使用的Email Address，其他版本沒有測試）
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:tsing
3.自簽署證書 ：
C:/OpenSSL/bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 ：
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
密碼：changeit
四.根據ca證書生成jks文件
C:/Java/jdk1.5.0_09/bin > keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem
五.配置tomcat ssl
修改conf/server.xml。tomcat6中多了SSLEnabled="true"屬性。keystorefile, truststorefile設置為你正確的相關路徑
xml 代碼
tomcat 5.5的配置：
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />
tomcat6.0的配置：
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>
六.導入證書
將ca.p12，client.p12分別導入到IE中去（打開IE->;Internet選項->內容->證書）。
ca.p12導入至受信任的根證書頒發機構，client.p12導入至個人
七.驗證ssl配置是否正確訪問你的應用http://ip:8443/，如果配置正確的話會出現請求你數字證書的對話框。

『拾』 如何創建一個自簽名的SSL證書

自簽名SSL證書只適合內部使用或測試需要，網站使用自簽名SSL證書存在極大的風險：

一：自簽SSL證書最容易被假冒和偽造，被欺詐網站利用
自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

二：部署自簽SSL證書的網站，瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

三：自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。

典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網，中間人可以截獲用戶的數據包，包括SSL數據包，並做一個假的伺服器SSL證書與用戶通信，從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時，瀏覽器會警告用戶此證書不受信任，需要用戶確認是否信任此證書，用戶習慣性點擊「繼續瀏覽」，中間人攻擊輕而易舉的實現了。

四：自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。