如何購買用於簽署數字負載的 X.509 證書

我的軟體正在呼叫第三方 Web 服務 (SOAP) 並使用 WS-Security 進行客戶端身份驗證，使用客戶端證書和消息內容的數字簽名。供應商要求我發送給他們的證書具有源自受信任機構（Verisign、Thawte 等）的信任鏈 - 他們不允許我進行自簽名。

當您訪問出售證書的網站時，大多數只有 3 個選項：

• SSL 證書
• “程式碼簽名”證書
• “文件簽名”證書

“文件簽名”似乎最接近我的需要，但網站上的許多文獻都談到瞭如何使用它們來簽署 Word 和 PDF 文件，以獲得額外的安全層，以便實際擁有人工“簽名”文件。

有什麼方法可以購買專門用於自動二進制有效負載/消息簽名的證書，該證書將與 WS-Security 一起使用並且不受速率限制？（例如，有些網站需要時間戳和“打電話回家”才能跟踪您簽署了多少文件）

這似乎是 B2B 場景的常見要求，但在文件方面幾乎沒有。

從可能足夠好的客戶端身份驗證證書開始。你有兩個選擇：

1. 購買電子郵件證書。這些也是客戶端證書，允許簽名並且很便宜。

2. 從 Letsencrypt 獲取免費的伺服器證書。這些帶有以下擴展，可能足以滿足您的案例：

   X509v3 extensions:
       X509v3 Key Usage: critical
           Digital Signature, Key Encipherment
       X509v3 Extended Key Usage: 
           TLS Web Server Authentication, TLS Web Client Authentication
       X509v3 Basic Constraints: critical

這些唯一的挑戰是您需要擁有一個有效的域來請求它們。好消息是證書是免費的

引用自：https://serverfault.com/questions/628122