给定一个以前被列入白名单的受 SSL 保护的站点(允许来自 xxxx 等),并且客户要求更改身份验证的工作方式,以使用 X.509 HTTPS 客户端验证。
问题在于,SSL CA 的“常见嫌疑人”都没有能力在不购买 CA 的托管 PKI 服务的情况下生成 X.509 证书。
我只为内部客户做过这件事,所以生成自签名 CA 并将 CA 的公共证书放入客户的钥匙串中很容易。对于外部客户来说,做到这一点并说服他们这样做就不那么容易了。
因此看起来选项是: 走托管 PKI 服务的路线。- 显然,这太昂贵了,而且还意味着要更换内部 CA 产品?
或者
让 CA 签署其根证书。
是吗?以前有人做过类似的事情吗?有人知道 Trusted Root 大概要花多少钱吗?
这不是一个购物问题。
答案1
如果客户愿意在其用户的 Web 浏览器中安装客户端证书来访问您的网站,那么使用自签名 CA 实际上并不是什么大问题,因为您也可以直接使用该证书。