我使用以下命令为 IIS7 生成 *.pfx。
C:\OpenSSL-Win32\bin\openssl.exe genrsa -out “C:\my_key.key” 2048
C:\OpenSSL-Win32\bin\openssl.exe req -new -key “C:\my_key.key” -out “C:\my_request.csr” -config “C:\OpenSSL-Win32\bin\openssl.cfg”
C:\OpenSSL-Win32\bin\openssl.exe x509 -req -days 3650 -in “C:\my_request.csr” -signkey “C:\my_key.key” -out “C:\my_cert.crt”
C:\OpenSSL-Win32\bin\openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in “C:\my_cert.crt” -inkey “C:\my_key.key” -out “C:\my_pkcs12.pfx” -name “MyNameHere”
然而,IIS表示,它不受信任。
那么,我该如何生成可信证书?或者我真的需要购买一个?
答案1
很容易得到你的服务器信任它...将其安装到受信任的根证书存储中。使用 mmc,打开证书管理单元,其余的你自己就可以搞定了。
问题是,这并不能让其他人相信它,这正是关键所在。消除另一端消息的唯一方法是从受信任的来源获取证书。Comodo 以每年 10 美元的价格出售它们。
注意:如果您要保护 Exchange 2007 或 2010 安装,则需要做更多工作。您需要另一种证书(称为 UCC 证书),其中包括所有相关域。据我所知,GoDaddy 是获取这些证书最便宜的地方。)
答案2
如果您希望其他人信任您的网站,那么您需要购买证书。如果您只想使用 SSL 加密网站,而不关心警告,那么您可以使用您生成的证书。
基本上,您从其处购买证书的第三方是信任链的一部分,他们会为您担保并进行一些基本检查,以确保您是您所说的那个人。当您生成自己的证书时,其他客户不会只听信您的言辞,但如果他们知道您是谁,他们可能不会在意证书是否有效,只要通信是加密的即可。