我从哪里获得 x509 证书？答案

【问题标题】：Where do I get an x509 certificate from?我从哪里获得 x509 证书？
【发布时间】：2012-07-13 16:32:44
【问题描述】：

我目前正在尝试基于 SslStream 类创建聊天。我正在浏览那个 msdn 链接：click here

我意识到我需要获得 X509Certificate 才能建立该任务。但我真的不知道我怎样才能得到一个？我知道有些是花钱的，但没有免费的？

P.S：我在谷歌上搜索了一些关于该主题的信息后来到这里，但没有找到任何有用的信息。

所以我的问题是：我在哪里可以获得 x509 证书？

谢谢。

【问题讨论】：

【解决方案1】：

这些家伙http://www.cacert.org/ 多年来一直在赠送免费证书。

【讨论】：

【解决方案2】：

您可以使用makecert 工具创建证书。

或者，如果您只对加密流量感兴趣，而不对其进行签名，并且您控制客户端和服务器，则只需使用 CryptoStream。

【讨论】：

如果我正在使用它，并且成功创建一个，客户端和服务器之间传输的数据将被加密？
如果您使用SslStream，那么可以。但请注意，要让您的客户信任证书，他必须信任证书颁发者。对于生产用途，您真的应该从受信任的证书颁发机构那里获得一份。
啊哈，所以你是说如果我创建自己的证书，客户端会收到提示并且必须接受证书才能继续？他是否必须执行一次或每次连接到服务器？
这取决于客户端及其配置方式。如果您自己编写客户端，并且您想要仅加密流量，另一种选择可能是使用CryptoStream。
是的，我正在编写客户端，我只是希望服务器和客户端之间的通信按我说的那样加密，我对安全主题不太了解，你有什么建议我使用 CryptoStream 或 SslStream 来完成此类任务？

【解决方案3】：

您可以生成自己的，并使用 openssl 自己签名，但请记住，如果客户端尝试验证它，我通常指的是浏览器，因为这是它们最常见的用途，但不是唯一的一，他们不能。

我知道有些是收费的，但没有免费的？

基本上，您支付的是 CA，证书颁发机构对其进行签名，因此当客户去验证您与 CA 的关系时，它将通过。

openssl：http://www.openssl.org/
这是我通常使用的命令openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.pem

server.pem 是您的证书，server.key 是您的私钥。

假设您可能已经安装了 .NET SDK，makecert 可能是一种更好/更简单的方法，因为您需要构建 openssl。

尽管我去了他们的文档，但我找不到如何设置密钥大小，但显然默认值是 1028 并且我认为使用 RSA ，但我确实找到了这个： makecert -pe -ss MY -$ individual -n "CN=your name here" -len 2048 -r

openssl 不仅支持 RSA，还支持许多类型，但也许你不需要它们。

【讨论】：

我明白了，但是正如您所说的客户端需要验证证书，我认为这不是问题，因为它是一个聊天程序，它不是浏览器，我只是想要在服务器和客户端之间传递的数据将在它们相互发送的所有消息中进行加密。
那么您可以开始了，抱歉，我不确定您是指基于 Web 还是基于桌面的聊天系统，openssl 允许您完全控制要如何创建证书。
真的吗？如上述答案之一所述，我应该使用 openssl 而不是 makecert？
@idish 更新了答案，虽然你可以想出自己的加密方案，但这完全取决于你想要它的安全性。
@idish，无论是浏览器还是其他客户端（聊天或其他）并不重要。如果您希望保护连接免受 MITM 攻击，客户端必须能够以一种或另一种方式验证它（通过它知道的 CA，或者如果它直接知道（自签名）证书，则明确表示）。

【解决方案4】：

为了清楚起见，请通读this。您可以使用赛门铁克的Verisign 服务签署您的公钥。它绝对不便宜。对于测试，您可以使用虚拟 CA 制作自己的证书。

【讨论】：