博客 > 如何创建自签名证书?
浏览量:8420次评论:0次
作者:Claire时间:2019-09-06 06:47:51
自签名证书是由创建它的人签署的证书,而不是由受信任的证书机构签发的证书。自签名证书能够达到与由受信任的机构所签署的价值1500美元的证书相同的加密等级,但它有两个主要的弊端:访问者的连接可能会被劫持,从而攻击者便能查看所有发送的数据(因此违背了加密连接的目的),以及证书不能向受信任的证书那样进行撤销。接下来,我们将介绍何时应当使用自签名证书,何时又不应当使用它,然后再分享一些有关如何为Microsoft IIS、Apache和Java Keytool等常见平台生成自签名证书的教程。
何时应当使用自签名证书?
自签名证书或由私人CA签署的证书不适合一般大众使用。
证书有两个基本目的:分发公有密钥和验证服务器的身份,因此访问者便能知道他们并没有把信息发送给错误的人。只有当证书是由受信任的第三方所签署的情形下,服务器的身份才能得到恰当验证,因为任何攻击者都可以创建自签名证书并发起中间人攻击。如果用户只是接收了自签名证书,那么攻击者就可以监听所有流量,或者试图建立一个模拟服务器来从用户那里获取额外的信息。正因为如此,你几乎永远不希望在服务器上使用自签名证书,因为这些服务器能够允许匿名访问者连接到你的网站。在这些案例中,你真的需要花费一些金钱来购买一个受信任的证书(市场上大量便宜的SSL证书,甚至还有一些免费的选项)。然而,自签名证书也有它们自己的一席之地:
只要记住,当连接到使用了自签名证书的服务器时,除非服务器已经被永久地存储在了它们的证书商店中,访问者就会在其浏览器中看到一条警告信息。
一个更好的选择:私有CA
如果你想要为一些适合的情形使用自签名证书,那么创建属于你自己的私有CA证书会更好一些。这是一个更加安全的选项,因为只需要多做一些工作,它便能够避免出现以上那样的警告信息。
IIS中的自签名证书
相比之前的几个IIS版本,在IIS 7版本中创建自签名证书更简单。IIS现在提供了一个简单的接口来生成自签名证书。但有一个缺点是:证书的常用名总是服务器的名称而不是站点的名称。为了更改常用名,你将需要执行一些额外步骤。
Apache自签名证书
创建自签名证书来保护Apache站点要求使用OpenSSL。这能让你全盘掌控证书的创建方式。
Java自签名证书
在所有平台中,利用Java Keytool创建自签名证书(通常)是最简单的,尽管它不要求你获取像使用OpenSSL那么多的完全控制。
相关文章推荐
2024-04-25 15:16:04
2024-04-24 15:17:58
2024-04-23 14:44:04
2024-04-18 14:47:24
2024-04-11 14:22:36
热门工具
标签选择
阅读排行
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市静安区灵石路718号大宁中心广场3期B1栋南楼502室
商务合作:business@racent.com
投诉意见:media@racent.com
关于锐成
联系我们
我的评论
还未登录?点击登录