Ssl

生成 pfx 時是否需要使用 bundle-ca?

  • June 30, 2021

我剛剛購買了“Positive SSL 證書”。來自發行公司 (Sectigo) 的 crt 文件和 bundle-ca 通過電子郵件到達。要生成 pfx,我使用此站點https://decoder.link/converter中的“PEM TO PKCS #12” 。是否有必要在“捆綁文件”中插入收到的捆綁包?即使沒有插入 pfx 證書,它仍然會生成,所以我想知道需要什麼,如果排除它存在與安全相關的問題。

幾件事:

  1. 永遠不要使用線上工具將 PEM/KEY 轉換為 PFX 或 PFX 轉換為 PEM/KEY,因為您洩露了您的私鑰。他們將擁有您的證書的完整副本,包括私鑰,並且可以冒充證書中授權的實體,並可能欺騙您。
  2. 雖然不是必需的,但如果目標/客戶端系統上沒有提供額外的 CA 證書,通常建議包含這些證書。這些證書將從 Web 伺服器發送到客戶端(假設您正在談論 TLS 證書)並提升/簡化客戶端上的證書驗證。在這種情況下,客戶端不需要安裝中間 CA 證書的副本,它們將在 TLS 握手期間從安裝在伺服器上的捆綁包中自動提供。

引用自:https://serverfault.com/questions/1068258