我正在构建一个购买系统,并被告知要在我的网络服务器上设置一个 SSL 证书以与银行业务合作。
我是新手,我不完全了解 OpenSSL(免费和开源)和 SSL 证书之间的区别,需要购买 (thawte.com)。
我猜 OpenSSL 是一种类似于创建密钥的工具(我已经为 firstdata.com 做过这个),但是如果我在 thawte.com 上购买 ssl 证书并安装它,我的网站会在 https 上运行吗?
我可以使用免费的 openSSL 与银行合作吗?或者我必须买一个?
【问题讨论】:
自发行(使用 OpenSSL)证书与您从 thawte(或其他地方)购买的证书之间的最大区别在于 信任。如果您希望您的用户使用访问您启用了 ssl 的网站而不会被提示“您信任来自此颁发者的证书吗?”您需要从trusted certification authority 购买证书,例如thawte or one of the others。
您的网站将使用任何旧的 x.509 证书在 https 上运行,因此,如果您只有少数人访问您的 ssl 网站,您可以说服他们信任您自行颁发的证书并为证书省钱。
【讨论】:
OpenSSL 是一种工具和库,可用于生成证书请求 (CSR)、自签名证书以及从 CA(当然,如果它是您控制的 CA)颁发证书。
大多数浏览器中嵌入了许多预先信任的证书颁发机构。他们通过签署他们给您的证书(来自您的证书请求)来颁发证书。反过来,他们颁发的证书可以由您的用户的浏览器根据他们的(颁发的)CA 证书进行验证,因为它默认是随他们一起提供的。
您可以生成自己的 CA 并自己颁发证书,但问题是您的 CA 证书在大多数浏览器中默认不会被信任,因此除非您让用户显式导入它,否则它毫无价值(这对企业来说很好例如 CA,但一般来说是不切实际的)。自签名证书是一种特殊情况:它是您生成的根 CA 证书或给定机器的一次性证书;无论哪种方式,您都必须明确导入它。
一些预信任 CA 允许您使用 OpenSSL 生成证书请求,作为其程序的一部分,但它们也可能提供依赖于其他工具的其他程序。您或他们使用哪种工具并不重要。您需要的是由远程方信任的 CA 颁发的证书。
【讨论】:
至少在第一年,您可以在StartSSL 上免费注册并为您的网站生成免费 SSL 证书。他们的网站现在显示周末维护,但稍后将提供。我能够从他们那里获得免费的 SSL 证书。此证书由 Startcom 证书颁发机构 trusted, according to their site 签署。
【讨论】: