购买 SSL 证书时,它会自动附带根证书和中间证书吗?
when purchasing an SSL certificate, does it automatically come with a root and intermediate?
我对这个话题做了广泛的研究,但我的知识仍然很模糊。我正在寻找一个简单站点的基本 DV,但我看到每个在线 SSL 都具有三个级别, Root->Intermidiate (充当 Root 的代理)和我猜的常规证书?
这是谷歌:
我看到他们的 Root 是从 GeoTrust 发行的,但他们的中间件是他们自己的,所以您是单独购买 Root 还是购买 SSL 时附带?以及 root 是否创建中间体从而签署购买的 SSL 或?一些清晰度会很好..
证书有两个用途:
- 加密连接
- 证明网站所有者是自称的人
如果我们只是要加密数据,任何证书都可以(甚至是自签名),但这在现实生活中是不够的,因为我们还需要确保我们没有连接到假网站(没有重点是保持信息安全,然后将其传递给坏人),这就是信任链概念的用武之地。在您的示例中:
您有 www.google.com 的证书,但您不能确定它是否是正品。毕竟,任何人都可以为 www.google.com.
有人自称是Google,保证上面的证书是正品,但是真假就不能说了Google.
有人自称是GeoTrust,保证上面的证书真的发给了真正的Google。但是这次您信任 GeoTrust,因为它在您的浏览器中被配置为根权限。它要么是浏览器附带的(并且您信任您的浏览器),要么是您自己安装了 CA(这在西班牙很常见,当您需要访问政府网站时)。
同样值得注意的是,我们可以有任意数量的级别,不一定是三个。
总结一下:
- 除了您支付的最后一个证书外,您在信任链中不拥有任何证书。
- 您从中获得证书的公司应该已经完成所有文书工作,成为主要浏览器中捆绑 CA 的一部分(毕竟,他们对服务收费)。否则,您的站点访问者将收到 不受信任的证书 错误消息,因为他们没有根 CA。
- 可选地,您可能需要下载并安装一些额外的中间 证书(但您仍然不拥有它们)。
这很简单,当您从供应商或证书颁发机构订购 SSL 证书时。 CA 将提供一个包含根证书、中间证书和主要证书的 zip 文件。安装根证书的原因是为了避免访问网站时通常出现的浏览器警告。您不需要单独订购上述证书,因为它是一整套的。
中间证书背后的原因是在访问者的浏览器和网络服务器之间创建信任链。所有三个证书都应该复制并粘贴到一个简单的文本文件中(检查下面的示例),并放置在稍后安装 SSL 时将使用的服务器上。希望这会消除你的疑虑。
例子:
—–BEGIN CERTIFICATE—–
(Primary certificate: yourdomain.crt)
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
(Intermediate certificate: ca.crt)
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
(Root certificate: root.crt)
—–END CERTIFICATE—–
我对这个话题做了广泛的研究,但我的知识仍然很模糊。我正在寻找一个简单站点的基本 DV,但我看到每个在线 SSL 都具有三个级别, Root->Intermidiate (充当 Root 的代理)和我猜的常规证书?
这是谷歌:
我看到他们的 Root 是从 GeoTrust 发行的,但他们的中间件是他们自己的,所以您是单独购买 Root 还是购买 SSL 时附带?以及 root 是否创建中间体从而签署购买的 SSL 或?一些清晰度会很好..
证书有两个用途:
- 加密连接
- 证明网站所有者是自称的人
如果我们只是要加密数据,任何证书都可以(甚至是自签名),但这在现实生活中是不够的,因为我们还需要确保我们没有连接到假网站(没有重点是保持信息安全,然后将其传递给坏人),这就是信任链概念的用武之地。在您的示例中:
您有
www.google.com的证书,但您不能确定它是否是正品。毕竟,任何人都可以为www.google.com. 生成证书
有人自称是Google,保证上面的证书是正品,但是真假就不能说了Google.
有人自称是GeoTrust,保证上面的证书真的发给了真正的Google。但是这次您信任 GeoTrust,因为它在您的浏览器中被配置为根权限。它要么是浏览器附带的(并且您信任您的浏览器),要么是您自己安装了 CA(这在西班牙很常见,当您需要访问政府网站时)。
同样值得注意的是,我们可以有任意数量的级别,不一定是三个。
总结一下:
- 除了您支付的最后一个证书外,您在信任链中不拥有任何证书。
- 您从中获得证书的公司应该已经完成所有文书工作,成为主要浏览器中捆绑 CA 的一部分(毕竟,他们对服务收费)。否则,您的站点访问者将收到 不受信任的证书 错误消息,因为他们没有根 CA。
- 可选地,您可能需要下载并安装一些额外的中间 证书(但您仍然不拥有它们)。
这很简单,当您从供应商或证书颁发机构订购 SSL 证书时。 CA 将提供一个包含根证书、中间证书和主要证书的 zip 文件。安装根证书的原因是为了避免访问网站时通常出现的浏览器警告。您不需要单独订购上述证书,因为它是一整套的。
中间证书背后的原因是在访问者的浏览器和网络服务器之间创建信任链。所有三个证书都应该复制并粘贴到一个简单的文本文件中(检查下面的示例),并放置在稍后安装 SSL 时将使用的服务器上。希望这会消除你的疑虑。
例子:
—–BEGIN CERTIFICATE—–
(Primary certificate: yourdomain.crt)
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
(Intermediate certificate: ca.crt)
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
(Root certificate: root.crt)
—–END CERTIFICATE—–