Ssl
我需要什麼樣的 SSL 證書,從哪裡獲得?
我想在我的域中擁有帶有 SSL 的子域。主要區別在於每個子域由具有不同公鑰/私鑰對的不同人託管。
讓我用一個例子來說明:
- 使用者發送他的公鑰並從 foo.com 請求子域
- 添加使用者並分配子域 bar (bar.foo.com)。儲存使用者公鑰以供將來針對 bar.foo.com 進行驗證
- 使用者訪問 bar.foo.com 並查看經過驗證的 SSL 連接。
據我所知,這意味著我需要創建一個 CA,這很好。問題是,據我回憶,CA 需要一種特殊的 SSL 證書。我該如何得到這個?
鑑於您對我上述評論的回答,我同意 Ladadadada。創建 CA 很容易,但要讓其他人信任它卻很難:要麼你需要將你的 CA 根證書分發給他們每個人(你不能這樣做,因為你已經確認他們是隨機的最終使用者) ,或者您需要讓瀏覽器製造商將其包含在他們的標準受信任捆綁包中(祝您好運)。
由於您不想只告訴每個子域所有者自己做,我能看到的唯一剩下的選擇是讓每個子域所有者生成 CSR,然後您充當中央票據交換所,送出其中的每一個發給證書頒發機構的 CSR。
許多大型 SSL 證書機構都有一項政策,您可以通過一次性冗長的過程來確立自己對 (eg) 的權威
example.com
,但是一旦完成,您為內部任何內容所做的應用程序example.com
顯然會很快通過。我不使用 Verisign(或現在的賽門鐵克),即使我這樣做也不會在這裡認可它們;我只是簡單地連結到它們,以便您可以看到這種安排的一個範例:賽門鐵克的門戶,可讓您成為域的權威(“關鍵功能”包括“在預先批准的域上即時頒發證書”)。如果您決定採用這條路線,您應該貨比三家並選擇適合您的 SSL 證書頒發者。