-
-
[旧帖] 看完SSL的原理文档,动手也做了openssl自签证书,还是有些不明白。。。 0.00雪花
-
发表于: 2017-2-12 00:04
-
看了SSL的介绍,动手也做了openssl自签证书用在ftp服务器和web服务器上,能用,还是有些不明白。。。
1、用openssl自签了证书,一些国家地区的字段都是乱填的,不过COMMNAME字段还是跟服务器IP地址或者域名吻合,
把这种自签的pem,key,crt用在服务器上,那么客户端(以web和ftp来说),登录会提示服务器的证书是不完整的(如附件图),那么说明这种自签的证书,是不是无法跟CA服务器确认? 在证书使用时候,还要跟CA服务器沟通对不对?再搜了一下网络知识,似乎要去CA服务器确认CRL撤销有效性? 不知道我理解得对不对? 我看到我自签的证书是没有有效期的。。。。
2、看到在网上能够去买SSL证书,而且也有免费的,这种证书是服务提供商建立了一个CA服务器,以确保签发的证书是能够到它那里进行确认的,对不对?
3、如果假定我以上两点理解正确,那么重点就是能自己建立一个CA服务器,完成整个证书认证链条也是可以的吧?
4、Centos系统一般用什么组件或者方法搭建一个CA服务器,对内网进行使用? (违法吗? 不违法的话那为什么绝大多数人去买商业的SSL证书呢?)
问题很低级,望高手见谅,不明白之处请多多指点,谢谢解答!
1、用openssl自签了证书,一些国家地区的字段都是乱填的,不过COMMNAME字段还是跟服务器IP地址或者域名吻合,
把这种自签的pem,key,crt用在服务器上,那么客户端(以web和ftp来说),登录会提示服务器的证书是不完整的(如附件图),那么说明这种自签的证书,是不是无法跟CA服务器确认? 在证书使用时候,还要跟CA服务器沟通对不对?再搜了一下网络知识,似乎要去CA服务器确认CRL撤销有效性? 不知道我理解得对不对? 我看到我自签的证书是没有有效期的。。。。
2、看到在网上能够去买SSL证书,而且也有免费的,这种证书是服务提供商建立了一个CA服务器,以确保签发的证书是能够到它那里进行确认的,对不对?
3、如果假定我以上两点理解正确,那么重点就是能自己建立一个CA服务器,完成整个证书认证链条也是可以的吧?
4、Centos系统一般用什么组件或者方法搭建一个CA服务器,对内网进行使用? (违法吗? 不违法的话那为什么绝大多数人去买商业的SSL证书呢?)
问题很低级,望高手见谅,不明白之处请多多指点,谢谢解答!
|
|
|---|---|
