我需要什么types的数字证书产品来启动我公司内部的数字安全基础架构,并为客户使用(通过链接预先信任)?
我相信我需要某种由公共CA签署的根组织证书,并为我提供了在组织内为SSL创build其他证书的能力,以及代码签名和客户证书以及我可能需要的任何其他证书。 我希望链接能够为客户validation颁发的组织证书和公共CA.
当我去到我所知道的主要CA,我没有看到任何明显符合我的期望的产品。
我已经生成了几次自签名证书,并且已经购买了精确域SSL证书。 但现在我需要一个更大的计划。
我也意识到CA系统有缺陷的意见/事实,所以你不必在你的答案中花费太多时间。
你的假设是错误的 – 没有任何公共CA会颁发证书作为你的根证书。
您生成自己的自签名证书颁发机构,并将其分发给客户端,以使其信任您。
然后你用它来签署你的证书。
所有公共CA都是自签名的 – 它们包含在您的操作系统或浏览器中,因为操作系统供应商认为它们值得信赖并添加了它们。 如果他们向您颁发了签名证书,则可以使用它来为google.com或microsoft.com制作完全有效的证书。 那会很糟糕。 除非你是NSA什么的,否则他们不会那么做。
在Windows上,分发证书是通过活动目录虚拟地自动完成到所有域连接的计算机。
如果您需要在networking外部信任的证书,则需要为每个域购买单个或通配符证书。 运行您自己的CA通常只在您自己的networking中使用。 它可以在外部工作,但您需要确保人们将您的根证书添加到他们的可信证书。
如果您的组织只有一个域,您可以获得该域的通配证书。
http://en.m.wikipedia.org/wiki/Wildcard_certificate
这将允许您为所有子域使用一个证书。
如果您有多个域名,则每个域名都需要一个。 如果你想有一个共享默认ssl端口的服务器有多个域,你需要使用服务器名称指示(SNI)来提供正确的证书。