有人能推荐一个客户端ssl证书服务吗？

Question

我正在寻找各种SSL提供商，但它们似乎都提供“电子邮件证书”，可以兼作客户端证书，可以安装到浏览器中。

有没有公司真的在卖客户证书，并且知道他们在说什么？

Answer 1

可以将X509v3证书限制为特定用途。一些S/MIME证书受到限制，因此它们不能用于网站，但大多数都不是。

Thawte不再颁发客户端证书。我2003年的证书的证书类型是"SSL CLient，S/MIME“，这表明它们既可以用于电子邮件，也可以用于客户端证书。我的2009年4月27日的证书只有一个限制，即它不能用作证书颁发机构。

苹果的iChat加密证书只能用于SSL客户端。如果您是me.com客户并启用了secure iChat，则会自动获得此信息。

您可能会发现，颁发自己的证书是最容易的。很多人都这样做，而且效果很好。您需要让用户加载您自己的密钥作为CA。

Answer 2

客户端证书通常只有在信任它的服务的上下文中才有意义。

例如，当windows计算机加入域时，该客户端工作站生成密钥对(在内部)，并且域控制器对其进行签名，并且该签名对(现在变成证书，尽管不是X509证书)并且由windows在内部使用。证书只对域控制器有意义。

通常，运行自己的CA的大型组织会向希望使用SSL身份验证访问安全站点的人颁发客户端证书。

客户端证书在互联网上很少见的原因是撤销问题。对于Thawte来说，向您(个人)签发客户证书意味着他们必须负责管理该证书的撤销。为了使它具有成本效益，将会有大量的证书存在；而且它们将不断被撤销，因为个人不断地个人安全失误。