如何為IIS創建自己的證書頒發機構?
[英]How to create my own certificate authority for IIS?
問題描述
我厭倦了為我的客戶購買SSL證書。 我們平均每月花費數千美元。 有人可以告訴我如何啟動我自己的證書頒發機構(不是自簽證書)嗎? 此SSL適用於IIS。
似乎IIS可以發出自簽,OpenSSL可以做同樣的事情, 我不想要它,除非它可以像Verisign和其他大公司一樣提供完整的SSL。
2 個解決方案
解決方案1
2 2011-04-20 12:12:56
創建自己的證書頒發機構不是問題。 您的問題是創建一個其他人會信任的證書頒發機構!
除非您的所有用戶都准備接受您簽名的證書,否則您創建自己的絕對沒有意義,除非您有少量准備信任您的根CA的用戶,否則這種情況非常不可能。
讓他們信任你會讓他們在你的網絡瀏覽器上安裝你的根CA作為可信任的CA,這幾乎不是很好的安全措施。
除非你在受控制的環境中工作,並且所有用戶都是內部用戶,或者你有一群非常可信的用戶會做你說的話 - 我建議你忘記這個想法。
解決方案2
2 已采納 2011-04-20 12:15:14
如果要打印自己的證書頒發機構(假設已關閉的公司內部基礎結構),則首先(驚訝,驚訝)創建自簽名證書,該證書將充當根CA證書。 然后生成第一個子證書 - 中間CA證書。 現在將根證書的私鑰放在安全的地方 - 很可能你多年都不需要它。 中間CA證書用於頒發最終用戶(或其他子CA)證書。
如果您希望標准瀏覽器和其他客戶端軟件能夠識別您的證書,您需要找到一種方法將公共根證書提供給操作系統本身以及這些瀏覽器和客戶端中的可信根列表(如果他們有自己的證書)證書存儲。 這是一個復雜的過程,每個操作系統和每個瀏覽器都有所不同。 它涉及重復審核,遵守嚴格的程序等。
同樣,如果您僅為內部公司創建證書,則可以制作軟件安裝程序(或只編寫自定義腳本或應用程序),將證書添加到每個用戶計算機上的受信任根列表中。 這可以在代碼中完成,幾乎沒有問題,但用戶必須(a)運行該腳本或程序,以及(b)確認添加證書。 對於某些瀏覽器或其他客戶端應用程序,該過程可能更復雜。
創建CA的過程是一個非常復雜的主題。 我建議您在繼續之前閱讀一些關於PKI的書籍。 這是我推薦的好書:
如何忽略 SSL 證書是由未知的證書頒發機構簽署的問題?
[英]how to ignore SSL certificate is signed by an unknown certificate authority problem?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.