文件记录5.1. 证书类型
要使用公钥加密设置安全服务器,在大多数情况下,您需要向 CA 发送证书请求(包括您的公钥)、公司身份证明和付款。 CA 验证证书请求和您的身份,然后为您的安全服务器发回证书。 或者,您可以创建自己的 自签名 证书。
请注意,不应在大多数生产环境中使用自签名证书。
继续 HTTPS 示例,CA 签名证书提供了自签名证书不具备的两个重要功能:
• 浏览器(通常)会自动识别证书并允许在不提示用户的情况下建立安全连接。
• 当 CA 颁发签名证书时,它保证了向浏览器提供网页的组织的身份。
大多数支持 SSL 的 Web 浏览器和计算机都有一个 CA 列表,它们自动接受其证书。 如果浏览器遇到授权 CA 不在列表中的证书,浏览器会要求用户接受或拒绝连接。 此外,其他应用程序在使用自签名证书时可能会生成错误消息。
从 CA 获取证书的过程相当简单。 快速概览如下:
1. 创建私人和公共加密密钥对。
2. 根据公钥创建证书请求。 证书请求包含有关您的服务器和托管它的公司的信息。
3. 将证书请求以及证明您身份的文件发送给 CA。 我们无法告诉您选择哪个证书颁发机构。 您的决定可能基于您过去的经验,或者您的朋友或同事的经验,或者纯粹是基于金钱因素。
一旦你决定了一个 CA,你需要按照他们提供的关于如何从他们那里获取证书的说明进行操作。
4. 当 CA 确信您确实是您所声称的人时,他们会向您发送数字证书。
5. 在您的安全服务器上安装此证书,并配置适当的应用程序以使用该证书。