Kla*_*sen 13
自行发行(使用OpenSSL)证书与您从thawte(或其他地方)购买的证书之间的最大区别在于信任.如果您希望您的用户使用访问您的ssl启用的网站而不会被提示"您信任来自此发行人的证书吗?" 您需要从受信任的证书颁发机构购买证书,例如thawte或其中一个.
您的网站将使用任何旧的x.509证书运行https,因此,如果您只有少数人访问您的ssl网站,您可能会说服他们信任您自己颁发的证书并为证书节省资金.
OpenSSL是一个工具和库,可用于生成证书请求(CSR),自签名证书和CA颁发证书(如果它是您当然控制的CA).
大多数浏览器都嵌入了许多预先信任的证书颁发机构.他们通过签署他们提供给您的证书(来自您的证书申请)来颁发证书.反过来,他们发布的证书可以由用户的浏览器根据其(颁发)CA证书进行验证,因为默认情况下它们随附.
您可以自己生成自己的CA并颁发证书,但问题是大多数浏览器默认情况下您的CA证书不受信任,因此除非您让用户明确导入它,否则它就毫无价值(例如,对于公司CA来说这很好) ,但一般来说是不切实际的).自签名证书是这种情况的特例:它是您生成的根CA证书或给定计算机的一次性证书; 无论哪种方式,您都必须明确导入它.
一些预先受信任的CA将允许您使用OpenSSL作为其过程的一部分生成证书请求,但它们也可能提供依赖于其他工具的其他过程.您或他们使用哪种工具并不重要.您想要的是由远程方信任的CA颁发的证书.
| 归档时间: |
|
| 查看次数: |
6238 次 |
| 最近记录: |