HTTPS 代表安全超文本传输协议，是一种用于保护两个系统之间通信安全的协议。为了实现这一点，HTTP 请求是通过使用 SSL（安全套接字层）或 TLS（传输层安全）协议的加密链接发送的。为了建立SSL/TLS隧道，需要以证书的形式提供SSL通信密钥。证书主要分为三种类型；自签名、内部证书颁发机构（以下简称 CA）签名以及由浏览器信任链中的 CA 签名的证书。

自签名证书是最容易获得的，但也是最不安全的，因为无法确认我们正在直接与所需的服务器对话，因为任何人都可以生成证书并且无法进行验证。由内部证书颁发机构签名的证书有一种机制来确认我们正在与正确的服务器进行通信。该机制就是证书，由内部证书颁发机构签名，该机构作为根证书颁发机构插入浏览器中。这允许验证该机构签署的证书，以确保它来自可信来源。缺点是您需要在每个浏览器中导入根证书颁发机构，该机构将用于与接收者进行通信。由信任链中的 CA 签署的证书通常被认为是最安全的。这种方法的主要问题是需要为每个地址购买证书，并且服务器必须公开供 CA 确认其有效性和所有权。另一个问题是它不适用于动态 DNS 提供商，它们通常不支持第三方证书（可能可以从 dyndns 提供商处购买 dyndns 证书）。
 

PEM认证文件

PEM 证书文件（级联证书容器文件）包含整个证书链，包括公钥、私钥和根证书。它是 RFC 1421 至 1424 标准中定义的标准文件。
 

Septentrio 接收器 Web 界面中的 HTTP/HTTPS

该界面位于接收器 Web 界面中的通信 > Web 服务器下。它提供了 HTTP/HTTPS 开关以及上传 *.pem 证书文件的选项。

可以在接收器运行时在 HTTP 和 HTTPS 之间进行切换，并且可以将是否启用 HTTPS 保存为配置的一部分。接收器的Web界面可以设置为HTTP+HTTPS、仅HTTP或仅HTTPS模式。对于仅限 HTTPS，必须提供有效的证书。如果没有可用的（CA 签名的）证书，则接收者会生成自签名证书，从而使 HTTPS 选项成为默认选项。

当接收方处于仅 HTTPS 模式时，所有通过 HTTP 的连接都会被阻止。当接收方处于仅 HTTP 模式时，所有通信都将重定向到同一页面的 HTTPS 版本。HTTP 在端口 80 上运行，但 HTTPS 需要端口 443。这些是不可配置的端口，但了解这一点对于防火墙设置和端口转发非常有用。

例如; 要使接收器通过 HTTP 从内部网络访问，但限制其通过 HTTPS 在 Internet 上访问，应选择 HTTP+HTTPS，并且应使用防火墙配置关闭接收器的 80 端口（同时保持 443 开放）。
 

上传证书

证书必须采用 pem 格式，并在同一文件中定义私钥。私钥不应与第三方共享，因此无法检索上传的 pem 证书。上传的证书可以使用 Chrome 开发工具的“安全”选项卡进行检查。当上传“安全”（非自签名）pem 证书时，浏览器将对其进行识别。

删除无效证书

要删除无效证书，必须发出“erst,hard,HTTPSCertificate”命令。这将导致接收方删除证书、重新启动并生成新的自签名证书。
 

例子

1. 通过 HTTPS 连接到接收器（将 https:// 添加到 IP 地址）

2. 删除现有证书（通过管理 > 重置）

1. 重新打开接收者的网络界面

刷新证书后，重新打开与接收器的 HTTPS 连接，您将看到一个屏幕，上面写着“您的连接不是私有的”。

浏览器在这里说 CA 无效，这是正确的，因为它是自签名证书。这里的危险在于任何人都可以生成此类证书，并且不能保证我们连接到正确的站点。这就是为什么更安全的选择是上传 HTTPS (pem) 证书。

https://customersupport.septentrio.com/s/article/Introduction-to-HTTPS-and-the-use-of-certificates-in-Septentrio-receivers