我想为域安装SSL证书。 所以我search了一下,做了一些研发,发现这个链接https://www.symantec.com/page.jsp?id=roots 。
它说我们可以免费下载和使用。 所以我已经下载了pem文件。 现在我需要在nginx服务器上进行设置。
所以现在我有了Pem文件,但没有CSR密钥。
由于我第一次configuration一个ssl证书,我完全不清楚如何去做。
请分享你的经验?
提前致谢。
您发布的链接是根包,因此您的计算机将信任由赛门铁克签署的证书 – 现代浏览器应该已经安装了该软件。 赛门铁克不允许您下载可供您用来创build默认信任的证书的签名证书。 那将是愚蠢的。 简而言之,您不能使用您链接的文件来创build新的证书。
如果你想要一个将被大多数浏览器信任的证书,你将不得不提交一个CSR到SSL供应商,并可能支付。 一些不太知名的供应商,如RapidSSL或StartSSL,可能已经打折甚至免费获得有限使用的证书,但是如果你想从赛门铁克(Verisign),Thawt,Entrust等主要供应商那里得到一些东西, $$。
如果你想创build你自己的PKI,它没有任何金钱成本,你需要创build你自己的证书颁发机构,并颁发一个根证书。 该证书必须安装在您希望信任您的证书的每台计算机上。
还有第三个选项,你可以有自己的内部CA由第三方信任的根签名,在这种情况下,你可以颁发固有信任的证书,但如果你问这个问题,你远远没有准备好类似的东西。 要求是严格的。
TL; DR – 如果您希望在无法控制的计算机上无缝工作,则需要付费。