我刚刚购买了“Positive SSL 证书”。来自发行公司 (Sectigo) 的 crt 文件和 bundle-ca 已通过电子邮件发送。为了生成 pfx,我使用此网站的“PEM TO PKCS #12”https://decoder.link/converter。我是否需要在“Bundle File”中插入收到的 bundle-ca?即使不插入 pfx 证书,它仍会生成,所以我想知道需要什么,如果排除它,是否存在与安全相关的问题。
答案1
几件事:
永远不要使用在线工具将 PEM/KEY 转换为 PFX 或将 PFX 转换为 PEM/KEY,因为这样会泄露您的私钥。他们会拥有您的证书的完整副本(包括私钥),并且可以冒充证书中拥有证书的实体,并可能欺骗您。
虽然不是必需的,但通常建议在目标/客户端系统上没有其他 CA 证书的情况下包含这些证书。这些证书将从 Web 服务器发送到客户端(假设您正在谈论 TLS 证书),并增强/简化客户端上的证书验证。在这种情况下,客户端不需要安装中间 CA 证书的副本,它们将在服务器上安装的捆绑包的 TLS 握手期间自动提供。