我在专用 IP 上有自己的服务器。我可以直接生成 SSL 证书吗?还是仍需要从 Network Solutions 等公司购买?
两者的主要区别是什么?
答案1
唯一的区别是哪个证书颁发机构签署了您的证书 - 因此,答案是“该 CA 是否默认受到浏览器信任”。
浏览器拥有一组他们信任的 CA 证书来签署证书。如果您的 CA 不在该集合中,用户会收到一条大警告。
SSL 中的其他内容(包括加密)均未发生改变 - 但该警告已经足够具有威胁性,如果没有由一组受信任的 CA 签署的证书,您将无法运行商业服务。
答案2
不同之处在于,您购买的产品来自可靠的来源。
如果您自己创建一个,则每个访问者都必须在浏览器中将该证书注册为受信任的。
答案3
为了阐述其他答案,了解证书的用途及其工作原理会有所帮助。
当你执行某些操作时(最常见的是浏览安全网页,即 HTTP年代即验证文件的合法性),计算机必须检查它是否可靠。它通过检查网站的安全证书(或文件的数字签名)来做到这一点。它会进行一些加密数学运算,但为了确保它没有被伪造或篡改,它最终必须检查其他人。
这是通过检查已知的、值得信赖的服务器来完成的(这就是为什么您无法在离线时进行此类检查,即使它被缓存了)。系统连接到外部服务器证书颁发机构 (CA) 并检查证书是否有效(它需要知道它是否真实,以及它是否已过期)。当证书被泄露时,他们需要使其无效,因此您需要能够检查证书是否已过期。
现在,当您使用自签名证书时,您是唯一知道它是否有效的人。这意味着当其他用户浏览您的安全站点或下载您的文件时,他们无法使用标准 CA 来检查您的证书。他们需要联系您的服务器(这违背了目的——什么能阻止黑客签署病毒并运行他们自己的证书服务器?)。为了避免这种情况,您需要让所有使用您证书的人都将其安装在他们系统的证书存储中,并在受信任的根 CA就在那里存储!
这有两个问题。首先,它要求人们手动安装证书(没有人会关心任何需要他们做任何事情的事情)。其次,它要求他们执行可能导致问题的可怕而高级的安全操作(即使他们这样做,过程中也有足够的警告和标志,他们可能会逃跑)。
总之,在某些情况下,例如家庭网络或其他本地网络(如实验室或办公室),使用自签名证书是可以的。但是对于一般的互联网来说,这还不够,您需要获得由较大的 CA 之一签名的证书(最好是证书包含在 Windows 中的 CA 之一)。幸运的是,有几种可供选择,价格从是的,我买得起 到我是比尔盖茨。
图1:导入证书
图 2:关于将证书导入到受信任的根 CA
答案4
SSL 证书的作用是“此密钥属于此服务器”。如果您自己生成证书,则意味着您说您的密钥属于您的服务器。但任何相信您这样说的人都不需要证书。来自 CA 的证书的意义在于让 CA 说密钥属于您的服务器。这样,信任该 CA 的人就会知道他们到达了他们想要到达的服务器。
你可以把它想象成用来开立银行账户的驾照。驾照上写着你的照片和你的名字是一致的,银行相信驾照的颁发者不会颁发没有正确照片和名字对应关系的驾照。如果你自己制作驾照,没有人会相信它会把你的照片和你的名字对应起来,除非他们已经信任你了,这在某种程度上违背了拥有驾照的意义。
您无需购买。有些 CA 会免费颁发证书,通过电子邮件或让您在其 Web 服务器上输入特定代码来确认您对域名的所有权。