我想为域名安装 SSL 证书。所以我在 Google 上搜索并做了一些研究,找到了这个链接https://www.symantec.com/page.jsp?id=roots。
它说我们可以免费下载和使用。所以我下载了 pem 文件。现在我需要在 nginx 服务器上进行设置。
所以现在我有 pem 文件,但没有 CSR 密钥。
- 如果我生成并使用自签名私钥可以吗?
- 我使用这个会有问题吗?
- 有任何与浏览器相关的问题吗?
由于这是我第一次配置 SSL 证书,所以我完全不清楚如何进行配置。
请分享一下你的经验?
提前致谢。
答案1
您发布的链接是根包,这样您的计算机就会信任 Symantec 签名的证书 - 现代浏览器应该已经安装了该证书。Symantec 不允许您下载签名证书,您可以使用该证书免费创建默认受信任的证书。这样做很愚蠢。简而言之,您不能使用您链接到的文件来创建新证书。
如果您想要一个大多数浏览器都信任的证书,您将必须向 SSL 供应商提交 CSR 并可能付费。一些不太知名的供应商(如 RapidSSL 或 StartSSL)可能会提供折扣甚至免费的证书(仅限有限使用),但如果您想从 Symantec (Verisign)、Thawt、Entrust 等主要供应商那里获得证书,您将需要支付 $$。
如果您想创建自己的 PKI(无需任何费用),则需要创建自己的证书颁发机构并让其颁发根证书。该根证书必须安装在您希望信任证书的每台计算机上。
还有第三种选择,您可以让第三方受信任的根签署您自己的内部 CA,在这种情况下,您可以颁发本质上受信任的证书,但如果您问这个问题,那么您还远远没有准备好接受这样的事情。要求非常严格。
TL;DR - 如果您希望它在您无法控制的计算机上无缝运行,则需要付费。