我需要哪种类型的数字证书产品来在公司内部建立数字安全基础设施并供客户使用(通过链接预先信任)?
我认为我需要某种由公共 CA 签名的根组织证书,它使我能够为 SSL、代码签名、客户端证书以及我可能需要的其他任何内容在组织内创建签名证书。我希望链接能够为客户验证已颁发的组织证书以及公共 CA。
当我去我所知道的各大 CA 时,我没有看到任何明显符合我期望的产品。
我已经生成过几次自签名证书,也购买过精确域 SSL 证书。但现在我需要一个更大的计划。
我也知道 CA 系统存在缺陷的观点/事实,所以你不必在回答这个问题上花费太多时间。
答案1
您的假设是错误的——没有公共 CA 会向您颁发证书作为您的根证书。
您生成自己的自签名证书颁发机构并将其分发给客户端以使他们信任您。
然后使用它来签署你的证书。
所有公共 CA 都是自签名的 - 它们包含在您的操作系统或浏览器中,因为操作系统供应商认为它们值得信赖并添加了它们。如果他们确实向您颁发了签名证书,您可以使用它为 google.com 或 microsoft.com 制作一个完全有效的证书。那会很糟糕。除非您是 NSA 之类的机构,否则他们不会这样做。
在 Windows 上,证书分发实际上是通过活动目录自动完成的,分发到所有与域连接的计算机。
如果您想要网络外部信任的证书,则需要为每个域购买单独或通配符证书。运行自己的 CA 通常仅在您自己的网络内部使用。它可以在外部工作,但您需要确保人们将您的根证书添加到他们信任的证书中。
答案2
如果您的组织只有一个域,您可以为该域获取通配符证书。
http://en.m.wikipedia.org/wiki/Wildcard_certificate
这将允许您对所有子域使用一个证书。
如果您有多个域,则每个域都需要一个。如果您希望多个域中的一台服务器共享默认 SSL 端口,则需要使用服务器名称指示 (SNI) 来提供正确的证书。